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原 书 推荐 : 


Unlike any other book in this area,this book provides innovative 
solutions to security issues,making this book a must read for 
anyone working with or studying security measures. 


本 书 针对 汽车 信息 安全 问题 提供 了 全 新 的 解决 方案 , 是 
智能 网 联 汽车 领域 的 必 读 图 书 。 
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在 提供 更 多 的 连接 已 经 成 为 车 辆 智能 化 重要 标志 的 大 趋势 下 ， 随 着 更 
多 车 辆 接口 的 开放 和 更 多 接 人 方式 的 引入 ， 车 辆 信息 安全 和 隐私 保护 成 为 
一 个 重要 的 问题 。 在 这 个 大 背景 下 , (ER ad hoc 网 络 的 安全 性 与 隐私 保 
护 》 一 书 对 车 辆 自 组 织 网 络 的 安全 和 隐私 保护 提出 了 相应 的 解决 方案 。 
本 书 涵盖 了 安全 技术 、 通 信 技 术 和 和 车辆 工程 等 学 科 的 知识 ， 专 业 程 度 较 
高 ， 其 出 版 对 我 国 车 联网 的 应 用 和 发 展 具 有 积极 的 意义 ， 可 以 为 科研 人 员 
的 研究 提供 参考 。 
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随 着 社会 的 发 展 和 人 们 生活 水 平 的 提高 ， 汽 车 已 经 变 成 了 人 们 生活 中 的 一 部 
分 ， 随 之 而 来 的 交通 安全 问题 也 成 为 世界 性 的 大 问题 。 随 着 高 速 公 路 的 发 展 和 汽 
车 性 能 的 提高 ， 汽 车 行驶 速度 也 相应 加 快 ， 加 之 汽车 数量 增加 以 及 交通 运输 日 益 
繁忙 ， 汽 车 事故 增多 所 引起 的 人 员 伤亡 和 财产 损失 ， 已 成 为 一 个 不 容 忽视 的 社会 
问题 ， 汽 车 的 行车 安全 的 重要 性 更 加 凸显 。 虽 然 汽 车 行业 已 经 采用 各 种 方法 来 保 
证 驾驶 人 的 安全 ,但 是 如 何 避 免 事 故 发 生 才 是 未 来 车 辆 安全 的 讨论 重点 。 可 以 预 
见 ， 车 辆 的 主动 安全 性 将 成 为 未 来 汽车 安全 技术 发 展 的 重点 和 趋势 。 

随 着 通信 技术 的 不 断 发 展 ， 在 “互联 网 +” 的 时 代 背 景 下 ， 人 们 开始 研究 
车 联网 技术 在 汽车 主动 安全 性 领域 的 应 用 ， 近 年 来 已 经 成 为 国内 外 的 研究 热点 ， 
欧美 等 国家 已 经 基于 802. 11a 协议 开发 出 了 专用 短 距 通信 (DSRC), PP 802. 11p 
协议 ,而 我 国企 业主 导 的 LTE -V 标准 也 已 经 在 3GPP 成 功 立 项 ，2016 年 9 月 将 
推出 V2V 版 本 。 

从 目前 车 联网 的 发 展 趋势 来 看 ， 提 供 更 多 的 连接 已 经 成 为 车 辆 智能 化 的 一 个 
重要 标志 。 但 随 着 更 多 车 辆 接口 的 开放 和 更 多 接 入 方式 的 引入 ， 车 辆 信息 安全 和 
隐私 保护 又 成 为 一 个 重要 的 问题 。 在 这 个 大 背景 下 ， 这 本 书 对 车 辆 自 组 织 网 络 的 
安全 和 隐私 保护 提出 了 相应 的 解决 方案 ， 该 书 的 出 版 对 我 国 车 联网 的 应 用 和 发 展 
具有 积极 的 意义 ， 可 以 为 科研 人 员 的 研究 提供 参考 。 

本 书 由 大 唐 无 线 移动 创新 中 心 车 联网 产品 线 的 徐 晖 和 周 斤 负责 翻译 ， 前 言 、 
1 ~5 章 由 徐 晖 负责 翻译 ，6 ~9 章 由 周 放 负责 翻译 。 在 翻译 过 程 中 得 到 了 机 械 工 
业 出 版 社 的 大 力 支 持 ， 在 此 表示 衷心 的 感谢 。 作 为 一 本 学 术 专著 ， 本 书 涵盖 了 安 
全 技术 、 通 信 技 术 和 车 辆 工程 等 学 科 的 知识 ， 专 业 程 度 较 高 ， 在 翻译 过 程 中 ， 我 
们 尽 可 能 地 保留 原著 的 写作 风格 ， 但 是 由 于 自身 的 水 平 有 限 ， 在 翻译 中 难免 存在 
不 足 之 处 ， 希 望 能 够 得 到 读者 的 悉心 指正 。 
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目前 ， 道 路 安全 受到 了 公众 越 来 越 多 的 关注 ， 工 业界 和 学 术 界 在 减轻 交通 事 
故 影响 方面 已 经 做 了 很 多 工作 。 无 线 技 术 的 发 展 给 道路 安全 和 交通 管理 带 来 了 新 
的 技术 手段 ， 多 数 车 辆 都 配备 了 无 线 通信 设备 。 该 设备 称 为 车 载 单 元 (OBU), 
可 以 和 其 他 车 辆 、 路 侧 设备 (RSU) 进行 通信 。 

OBU 和 RSU 形成 的 自 组 织 网 络 称 为 车 辆 ad hoc 网 络 (VANET) ， 通 过 车 车 
通信 实现 的 应 用 (如 紧急 制 动 警告 ) 可 以 提高 道路 安全 和 效率 ， 以 及 提高 驾驶 
经 验 。 新 技术 的 采用 带 来 了 巨大 的 社会 效益 ， 同 时 也 带 来 了 巨大 的 挑战 ， 其 中 最 
大 的 挑战 是 如 何 解决 由 新 技术 带 来 的 安全 和 隐私 问题 。 如 果 我 们 在 广泛 部 署 这 种 
网 络 之 前 不 考虑 安全 和 隐私 问题 ， 那 么 VANET 吸引 人 的 特点 将 不 可 避免 地 承担 
更 高 的 混用 风险 。 

VANET 作为 移动 自 组 织 网 络 (MANET 网 络 ) 的 一 种 特殊 实现 方式 ， 具有 
许多 独特 的 功能 和 应 用 。 首 先 ， 节 点 (车 辆 和 RSU) 之 间 的 连接 经 常 是 短暂 的 
和 一 次 性 的 事件 ; 在 有 限 的 时 间 内 ， 两 车 之 间 在 传输 范围 内 或 者 经 过 几 跳 保持 连 
接 ， 这 样 导 致 的 结果 是 车 联网 的 网 络 拓扑 结构 是 高 度 动态 的 。 此 外 ，VANET 是 
一 个 巨大 的 网 络 ， 可 能 包括 数 以 百 万 计 的 节点 (在 道路 上 的 车 辆 和 RSU)， 使 得 
VANET 在 保证 安全 性 和 隐私 方面 面临 巨大 的 挑战 ， 特 别 是 消息 的 真实 性 和 完整 
性 以 及 保护 与 用 户 相关 的 隐私 信息 ， 如 驾驶 人 姓名 、 车 牌号 码 、 车 型 和 行驶 路 线 
等 信息 。 现 有 的 通信 安全 和 隐私 保护 的 研究 和 解决 方案 没有 考虑 车 联网 相关 的 伸 
缩 性 和 通信 开销 ， 因 此 不 能 有 效 地 应 用 于 VANET。 消 息 验 证 是 确保 信息 可 靠 性 
的 常用 工具 ， 但 它 在 VANET 中 面临 巨大 挑战 ， 当 车 辆 收 到 大 量 的 信息 时 ， 传 统 
的 认证 机 制 可 能 产生 车 辆 无 法 负担 的 计算 开销 ， 并 且 有 可 能 给 时 间 要 求 严格 的 应 
用 (如 事故 预警 ) 带 来 不 可 接受 的 延 时 。 另 一 个 挑战 是 通信 的 隐私 保护 ， 如 不 
应 该 被 未 经 授权 的 第 三 者 获得 车 辆 的 身份 、 位 置 和 移动 轨迹 等 隐私 信息 。 在 本 书 
中 ， 匿 名 消息 认证 的 概念 是 将 信息 的 真实 性 和 私密 性 进行 了 融合 。 

本 书 主要 关注 VANET 中 的 消息 认证 和 隐私 问题 ， 我们 首先 描述 了 VANET 
中 安全 和 隐私 问题 ， 以 及 解决 这 些 问 题 面临 的 挑战 。 

第 2 章 描述 了 VANET 中 不 同 设备 (OBU 和 RSU) 之 间 通 信 的 安全 和 隐私 需 
求 。 本 书 确 定 了 最 合适 的 密码 原 语 ， 并 设计 了 安全 和 隐私 保护 协议 。 该 协议 融合 
了 群 签名 和 基于 标识 (ID) 的 签名 来 满足 车 载 通信 安全 性 和 私密 性 的 要 求 。 

第 3 章 进 一 步 描述 了 VANET 的 隐私 保护 ， 即 如 何 有 效 地 应 对 日 益 严 重 的 撤 
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销 列 表 而 实现 有 条 件 的 可 追溯 。 在 OBU 和 RSU 之 间 采 用 基于 on - the - fly 
short — term 的 匿名 密 钥 生成 技术 ， 本 书 提出 了 一 种 有 效 的 条 件 隐私 保护 协议 ， 其 
特点 是 通过 提供 有 条 件 的 隐私 保护 ， 提 高 OBU 存储 最 小 化 的 匿名 密 钥 和 安全 信 
息 快速 验证 的 工作 效率 。 

第 4 章 讨论 了 VANET 中 位 置 隐私 的 假名 改变 策略 ， 即 使 一 个 OBU 持 有 大 量 
VANET 假名 ， 如 果 假名 没有 在 合适 的 时 间 和 合适 的 地 点 改变 ， 则 位 置 隐私 仍然 
受到 侵犯 。 为 了 使 汽车 实现 高 层次 的 位 置 隐私 ， 本 书 提出 了 一 个 高 效 的 在 聚集 点 
进行 假名 改变 的 策略 。 其 中 ， 聚集 点 是 指 许多 车 辆 临时 聚集 的 地 方 。 

随后 ， 本 书 采 用 协作 的 方法 应 对 复杂 的 匿名 消息 验证 挑战 。 在 VANET 中 ， 
匿名 消息 认证 协作 可 以 被 定义 为 车 辆 和 RSU 一 起 工作 以 确保 接收 信息 的 完整 性 ， 
以 及 验证 消息 确实 是 从 合法 用 户 发 出 。 协 作 可 采取 多 种 形式 ， 例 如 车 辆 和 RSU 
或 只 在 车 辆 之 间 采 用 协作 的 方式 。 根 据 组 内 车 辆 和 RSU 角色 的 不 同 ， 可 以 采取 
不 同 的 协作 方式 ， 例 如 ，VANET 中 资源 丰富 的 RSU 通常 被 视 为 可 信 实 体 ， 因 为 
这 种 RSU 一 般 由 政府 或 服务 提供 商 部 署 ， 它 们 的 位 置 是 固定 的 。 这 种 情况 下 
VANET 可 以 利用 RSU 的 资源 和 固定 位 置 的 优势 实现 消息 验证 ， 通 过 允许 资源 丰 
富 的 和 值得 信赖 的 RSU 在 消息 验证 过 程 中 作为 主要 的 处 理 角色 ，RSU 可 以 协助 
车 辆 验证 它们 收 到 的 信息 。 

对 于 VANET 早期 常见 的 只 有 车 辆 之 间 协 作 (由 于 缺少 RSU) 的 情况 ,车辆 
可 以 按照 自己 的 计算 能 力 验 证 一 定 比 例 的 消息 并 报告 检测 到 的 任何 无 效 的 消息 。 
当 各 单元 一 起 工作 时 ， 不 必要 的 消息 认证 和 验证 也 可 以 被 最 小 化 。 此 外 ， 可 以 根 
据 车 载 网 络 中 传送 的 消息 内 容 决 定 是 否 进行 协 作 ， 例 如 所 有 车 辆 通信 网 络 应 用 中 
在 特定 的 区 域 传 播 紧 急 消息 是 最 重要 的 ， 向 附近 的 车 辆 快速 地 传播 紧急 状态 和 本 
地 警告 消息 可 以 防止 发 生 二 次 事故 ， 尤 其 是 在 能 见 度 不 好 的 条 件 下 (例如 大 雾 
的 情况 ) 对 车 辆 的 安全 驾驶 很 有 帮助 。 在 大 多 数 情 况 下 ，VANET 以 多 跳 传输 的 
方式 实现 紧急 消息 的 传播 ， 特别 是 在 安装 较 少 RSU 的 部 区。 在 紧急 情况 下 ， 同 
一 地 区 的 多 个 感 测 车 辆 可 以 检测 到 相同 的 公共 事件 ， 因 此 充分 利用 紧急 事件 交叉 
验证 的 特点 可 能 成 为 提升 VANET 整体 安全 级 别 的 方法 。 通 过 收集 证 人 的 反馈 来 
交叉 验证 紧急 事件 的 方法 可 以 被 定义 为 一 种 投票 机 制 。 该 机 制 最 初 用 于 检测 在 没 
有 任何 集中 安全 授权 的 分 布 式 自 组 织 网 络 中 行为 不 端的 节点 ， 这 种 协作 往往 适用 
于 处 理 特殊 类 型 的 消息 ， 如 紧急 消息 ， 并 且 该 机 制 可 以 移植 到 VANET 中 ， 以 提 
高 突 发 事件 认证 的 整体 安全 性 。 

本 书 将 VANET 协作 认证 机 制 分 为 四 类 : RSU 辅助 认证 (第 5 章 )、 基 于 
TESLA 的 认证 (第 6 章 ) 、 分 布 式 协作 认证 (第 7 章 ) 和 上 下 文 感知 协作 认证 
(第 8 章 ) 。 对 于 每 类 机 制 ， 本 书 引 入 了 相应 的 消息 认证 协议 ， 同 时 还 对 这 些 协 
议 的 安全 性 、 效 率 和 效益 进行 了 分 析 。 理 论 分 析 和 仿真 结果 表明 ， 对 车 辆 通信 消 
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息 的 安全 认证 来 说 ， 协 作 认 证 是 一 种 很 有 前 途 的 、 有 效 的 方式 。 

由 于 车 辆 的 移动 ， 车 辆 可 以 在 路 穷 部 署 的 RSU 之 间 漫 游 。 最 后 一 章 讨论 了 
在 VANET 中 实现 无 颖 移动 的 挑战 。 通 过 考虑 车 载 通信 网 络 的 一 些 因 有 特性 如 可 
预见 的 车 辆 移动 ， 介 绍 了 一 种 基于 移动 预测 的 无 颖 认证 方案 ， 实 现 快速 认证 ， 减 
少 认 证 延迟 时 间 。 

本 书 主要 介绍 了 我 们 对 VANET 中 匿名 消息 验证 的 研究 结果 ， 并 且 提 供 了 一 
个 综合 性 研究 及 VANET 中 安全 和 隐私 问题 的 解决 方案 。 

我 们 要 感谢 很 多 人 的 帮助 ， 他 们 有 见地 的 意见 和 建议 ， 帮 助 我 们 更 好 地 提高 
研究 工作 水 平 。 特 别 是 ， 我 们 要 感谢 下 述 研 究 人 员 ， 他 们 与 我 们 一 起 为 本 书 所 描 
述 的 这 个 令 人 兴奋 的 研究 课题 努力 : Prof. Xue min (Sherman) Shen, Prof. 
Pin - Han Ho, Prof. Haojin Zhu, Dr. Chenxi Zhang, Xiaoting Sun, Dr. Xiaoyu 
Wang, Dr. Xiaohui Liang, Dr. Tom H. Luan， 和 Dr. Xu Li。 与 他 们 之 间 的 讨 
论 和 合作 为 这 本 书 打 下 了 基础 。 此 外 ， 还 要 感谢 IEEE 允许 我 们 使 用 IEEE - 版 权 
作品 。 


加 拿 大 安大略 理工 大 学 Xiaodong Lin 
新 加 坡 南 洋 理工 大 学 Rongxing Lu 
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缩写 全 ORK 解 m 
ABS Antilock braking system 防 抱 死 制 动 系统 
AES Advanced Encryption Standard 高 级 加 密 标准 
AP Access point; augmented packet ZA; 增强 包 
ASS Anonymity set size 匿名 集 大 小 
ATM Automated teller machine 动 取款 机 
BLS Boneh - Lynn - Shacham 三 个 人 的 名 字 
CA Certificate authority 证 书 授权 
CRL Certificate revocation list 证 书 撤销 列表 
CRS Certificate revocation system 证 书 撤销 系统 
CRT Certificate revocation tree 证 书 撤销 树 
CWBS Collision warning with brake support 碰撞 预警 和 制 动 支持 
DoS Denial of service 拒绝 服务 
DRP Distributed Revocation Protocol 分 布 式 撤销 协议 
DSA Digital signature algorithm 数字 签名 算法 
DSRC Dedicated short - range communication 专用 短程 通信 
EBL Extended brake light 延长 制 动 灯 
ECC Elliptic curve cryptography 椭圆 曲线 密码 
ECDSA Elliptic curve digital signature algorithm 椭圆 曲线 数字 签名 算法 
ECIES Elliptic curve integrated encryption scheme 椭圆 曲线 集成 加 密 方案 
EMS Emergency medical services 紧急 医疗 服务 
EMSS Efficient multichained stream signature 有 效 多 链 流 签名 
ETC Electronic toll collection 不 停车 电子 收费 
FCC Federal Communications Commission 联邦 通信 委员 会 
GPRS General packet radio service 通用 分 组 无 线 服务 
GPS Global Positioning System 全 球 定 位 系统 
ipu nda Portability and Accountability 健康 保险 携带 和 责任 法 案 
IBC Identity - based cryptography 基于 身份 的 密码 
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(E) 
缩写 全 ORK 解 — m 
ITS Intelligent transportation systems 智能 交通 系统 
IVC Intervehicle communication 车 辆 间 通 信 
KPSD Key - insulated pseudonym self — delegation 密 钥 隔离 的 假名 自 授权 
LPR License plate recognition 车 牌 识别 
MAC Message authentication code 消息 认证 码 
MANET Mobile ad hoc network 移动 自 组 织 网 络 
MM Membership manager 成 员 管理 者 
MTO Ministry of Transportation 交通 部 
OBU Onboard unit 车 载 单元 
OCSP Online Certificate Status Protocol 在 线 证 书 状 态 协议 
PCS Pseudonyms changing at social spots 社交 点 假名 修改 
PD Packet delay ES 
PKI Public key infrastructure 公共 密 钥 基础 设施 
PLR Packet loss ratio ak 





QoP 


Quality of privacy 


隐私 质量 





Revocation using Compressed Certificate Revoca- 



















































































RC2RL 吏 用 压缩 证 书 撤销 列表 的 撤销 

RFID Radiofrequency identification 无 线 射 频 识 别 

RL Revocation list 撤销 列表 

RSU Roadside unit 路 侧 单元 

RTPD Revocation of the Tamper - Proof Device 防 干扰 设备 的 撤销 

Roadside -to — vehicle (or RSU -io -vehicle) com- 本 

RVC D. 车 路 通信 
munication 

SER secure emergency report 安全 紧急 报告 

SeVeCom | Secure vehicular communication 安全 车 辆 通信 

SUV Sport utility vehicle 运动 型 多 用 途 汽车 

TA Trusted authority up f BLUES 

TCP Transmission Control Protocol 传输 控制 协议 

TESLA Timed efficient stream loss — tolerant authentica- 1 ROH EAE LE 
tion 

ican Topologically integrated geographic encoding 拓扑 集成 地 理 编码 和 引用 
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( 续 ) 

缩写 全 K ut o — m 
TLS Transport layer security 传输 层 安 全 
TM Tracing manager 跟踪 管理 者 
TPD Tamper - Proof Device 防 干扰 设备 
TRC Transportation regulation center 交通 管理 中 心 
TTL Time to live 生存 时 间 
USDOT United States Department of Transportation 美国 运输 音 
V2I Vehicle -to - infrastructure 车 辆 到 基础 设施 
V2V Vehicle -to - vehicle 车 到 车 
VANET Vehicular ad hoc network 车 辆 自 组 织 网 络 
VIN Vehicle identification number 车 辆 识别 号 码 
VIR Verifier — local revocation 本 地 验证 撤销 
VSC Vehicle safety communications 车 辆 安全 通信 
-— Vehicle Safety Communications ( VSC) Consorti- 车辆 安全 通信 联盟 

um 

VSS V2X Security Subsystem V2X 安全 子 系统 
WAVE Wireless access in vehicular environment 车 辆 环境 中 的 无 线 接 人 
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身 伤亡 和 财产 损失 。2005 年 ， 美 国 发 生 了 近 642 万 起 事故 ， 其 中 290 万 人 受伤 ， 
42636 人 死亡 ， 造 成 了 230 多 亿美 元 的 经 济 损失 。 据 统计 ， 在 美国 每 小 时 约 有 5 
人 死 于 交通 事故 ， 即 大 概 每 12min 造成 1 人 死亡 [1]。 在 这 种 情况 下 ， 如 何 提 
高 驾驶 的 安全 性 已 经 引起 了 公众 越 来 越 多 的 关注 ， 工 业界 和 学 术 界 一 直 致 力 于 研 
究 如 何 减轻 交通 事故 及 其 伤害 的 影响 ， 例 如 汽车 制造 商 已 经 投入 了 很 大 的 力量 使 
汽车 更 安全 ， 使 用 被 动 汽 车 安全 系统 ， 如 安全 带 、 安 全 气 吉 系统 以 及 演 缩 系统 等 
减少 撞击 对 驾驶 人 和 乘客 造成 的 伤害 ， 同 时 也 积极 探索 主动 汽车 安全 系统 进行 预 
警 来 避免 事故 ， 如 防 抱 死 制 动 系统 (ABS) 、 育 点 安全 性 、 侧 倾 稳定 控制 系统 、 
主动 转向 系统 、 碰 撞 和 警告 与 制 动 支持 (CWBS) 、 车 道 偏 离 警 告 系统 和 马自达 的 
预防 撞 安全 系统 [2] 。 虽 然 上 述 安全 技术 已 经 有 效 地 改善 了 行车 安全 ， 但 是 在 
过 去 的 几 十 年 中 道路 安全 问题 还 是 给 人 们 带 来 了 巨大 的 损失 ， 因 此 探索 新 的 技术 
来 提高 道路 安全 水 平 是 很 有 必要 的 。 

在 过 去 的 20 年 中 ， 无线 技 术 的 不 断 发 展 已 经 对 人 们 的 生活 方式 产生 了 重大 
的 有 影响， 人们 可 以 简单 、 灵 活 地 接 入 互联 网 ， 享 受 不 同类 型 的 互联 网 应 用 。 最 近 
基于 IEEE 802. 11p 标准 和 IEEE 1609 标准 的 5.9GHz 专用 短程 通信 (DSRC) Bh 
议 [3], 通过 有 效 、 可 靠 和 安全 的 车 - 车 通信 (V2V)[ 也 称 为 内 部 通信 
(IVC) ] 和 车 -路 (V21) 通信 [也 被 称 为 车 辆 的 安全 通信 (VSC)] 可 以 实现 
先进 的 车 辆 安全 应 用 。 美 国运 输 部 (USDOT) 与 七 个 汽车 制造 商 (宝马 、 戴 姆 
勒 - 克莱斯勒、 福特 、 通 用 、 日 产 、 丰 田 和 大 众 ) 合作 ， 成 立 了 和 车辆 安全 通信 
协会 (VSCC) ， 通 过 VSC 项 目 评估 通过 外 部 车 辆 通信 机 制 来 启用 或 者 增强 车 辆 
的 安全 应 用 [4]。 例 如 ， 如 果 在 交叉 路 口 检测 到 了 红 灯 违 章 ， 那么 那些 有 可 能 
违章 的 驾驶 人 将 收 到 警告 以 避免 无 意 的 红 灯 违 章 ， 同 时 红 灯 预 警 信息 使 车 辆 在 交 
叉 路 口 发 生 碰撞 的 可 能 性 降 为 最 低 。 
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1.2 专用 短程 通信 (DSRC) 和 和 车辆 自 组织 网 络 ( VANET) 


1.2.1 专用 短程 通信 (DSRC) 


专用 短程 通信 (DSRC) 协议 是 短程 无 线 协议 中 的 一 种 ,该 协议 专门 用 于 
V2V 和 V2I 通信 ， 以 提高 智能 交通 系统 (TS) 的 安全 性 和 效率 。 原 先 DSRC 建 
议 在 915MHz 频段 工作 ，1999 年 ， 美 国联 邦 通信 委员 会 (FCC) 在 5.9GHz 频段 
上 为 DSRC 分 配 了 75MHz 频谱 ， 在 日 本 和 欧洲 DSRC 使 用 5. 8GHz 频段 。DSRC 
无 线 技术 是 IEEE 802. 11a 技术 的 变种 [5] ,可 以 在 1km 范围 内 提供 高 达 
27Mbit/s 的 高 数据 传输 速率 ， 同 时 保持 在 DSRC 频谱 上 的 低 投 入 。 目 前 工业 界 和 
学 术 界 正在 进行 DSRC 的 标准 化 工作 ，IEEE P1609 工作 组 制定 了 DSRC 的 PHY 
和 MAC 层 标准 IEEE 802. 11P， 以 及 DSRC 的 应 用 和 管理 服务 标准 ， 即 车 载 环境 
中 的 无 线 接 入 (WAVE)。 此 外 ，VSC 采用 IEEE 1609 系列 标准 开发 了 很 多 
DSRC/WAVE 应 用 ， 根 据 其 设计 场景 和 能 力 被 分 为 以 下 两 类 。 

e 用 于 改进 道路 安全 的 车 辆 安全 相关 的 应 用 : 例如 目前 驾驶 人 只 能 看 到 他 
们 前 面 车 辆 的 制 动 条 ， 制 动 灯 只 能 表明 车 辆 是 否 正在 制 动 ， 但 不 能 表示 减速 的 程 
度 。 当 有 紧急 制 动 发 生 时 ， 驾 驶 人 可 能 只 能 看 见 前 面 的 制 动 灯 ， 而 看 不 到 其 他 车 
辆 的 制 动 条 ， 这 种 情况 在 能 见 度 差 ( 雾 天 ) 、 车 辆 之 间 的 间距 很 近 或 者 车 辆 跟 在 
更 大 型 车 辆 [ 如 小 型 货车 、 货 车 和 运动 型 多 用 途 车 (SUV) ] 后面 的 情况 下 经 常 
发 生 ， 由 此 很 容易 引发 尾部 碰撞 的 事故 。 为 了 应 对 这 种 情况 ，V2V 通信 可 以 扩 
大 制 动 灯 信号 的 范围 ， 并 为 驾驶 人 指示 减速 的 程度 [或 称 为 扩展 制 动 灯 
(EBL)] [4] ,通过 V2V 通信 和 车 辆 的 制 动 信息 可 以 及 时 传播 并 提醒 其 他 车 辆 
注意 。 

* 用 于 交通 管理 和 信息 娱乐 的 车 辆 非 安全 相关 的 应 用 : 在 现代 运输 系统 中 ， 
城市 地 区 的 交通 灯 在 自动 流量 控制 和 管理 上 发 挥 了 重要 作用 ， 提 高 了 驾驶 的 安全 
性 ， 同 时 也 有 利于 交叉 路 口 的 平滑 复 用 ， 因 此 交通 灯 控 制 器 的 智能 化 得 到 了 越 来 
越 多 的 关注 ， 收 集 交通 相关 的 信息 ， 在 流量 控制 中 可 以 起 到 重要 作用 。 目 前 这 项 
工作 通过 在 街头 路 面 的 交通 灯 中 安装 感 测 装置 [例如 电磁 线 (循环 ) ] 来 实现 ， 
但 是 在 一 个 路 口 部 署 这 样 的 传 感 费 非常 昂贵 而 且 难 以 维护 。 男 外 随 着 时 间 的 推 
移 ， 这 种 传感器 会 变 得 不 准确 和 经 常 发 生 故 障 。 相 反 V2I 通信 可 以 用 来 有 效 地 收 
集 交 通信 息 ， 通 过 V2I 通信 ,一 个 RSU 可 以 探测 某 个 交叉 路 口 所 有 方向 的 通信 
业务 负荷 ， 然 后 根据 动态 的 业务 负载 智能 地 控制 相应 的 交通 灯 。 
























































1.2.2 车 辆 自 组 织 网 络 (VANET) 


为 了 提高 驾驶 体验 并 使 驾驶 更 安全 ， 汽 车 制造 商 和 电信 行业 正在 研究 可 以 让 
车 和 车 、 车 和 位 于 道路 的 关键 部 位 的 路 边 基础 设施 (如 交通 灯 、 交 又 路 口 、 停 
止 指示 等 ) 进行 通信 的 技术 。 例 如 微软 公司 的 MSN TV 和 KVH Industries 公司 推 
出 了 名 为 TracNet 的 车 辆 互联 网 接 人 系统 ， 它 可 以 使 互联 网 服务 延伸 到 车 载 电视 
屏幕 上 ， 同 时 它 也 是 一 个 基于 IEEE 802.11 的 Wi-Fi 热 点 ,乘客 可 以 像 在 家 或 
者 办 公 室 一 样 通过 热点 访问 互联 网 。 此 外 通过 使 用 装备 在 车 上 的 车 载 单元 
(OBU) ， 车 辆 之 间 、 车 辆 和 路 侧 单元 (RSU) 可 以 进行 通信 。 如 图 1-1 所 示 ， 
连接 车 辆 和 RSU 的 自 组 织 网 络 称 为 车 辆 ad hoc 网 络 (VANET) ， 并 且 RSU 可 以 
经 由 高 速 网 络 进 一 步 连接 到 骨干 网 。 最 近 ， 除 了 可 以 提供 驾驶 人 和 乘客 上 网 服务 
之 外 ,已 经 有 越 来 越 多 的 旨 在 提高 驾驶 安全 性 和 交通 管理 效率 的 V2V 和 V2I1 通 
信 应 用 面世 。 据 估计， 在 未 来 的 几 年 车 载 通信 将 有 数 十 亿美 元 的 市 场 。 



































—> AN E: 
RSU ( f g Pean 
A aE 总 | = 
”警告 、 施 工区 敬告 等 \ n i 
， 出 现时 容易 发 生 侧 滑 n ü 
H [ace 
车 辆 ad hoc 网 络 es IS o> 
(VANET) f H 
位置 、 当 前 时 间 、 s. | BIE 去 
速度 、 加 速度 /减速 度 等 有 iB S H 
: i] -. Ss 























图 1-1 车 辆 ad hoc 网 络 





在 VANET 中 RSU 可 以 帮助 驾驶 人 找到 如 餐厅 或 加 油 站 之 类 的 设施 ， 而 且 通 
过 广播 将 交通 相关 的 消息 如 “最 大 弯 道 转弯 速度 ”通知 驾驶 人 。 例 如 : 车辆 可 
以 通过 V21 方式 与 交通 灯 进 行 通 信 ， 得 到 交通 灯 变 成 黄色 或 红色 的 时 间 信 息 ， 这 
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可 以 作为 一 个 给 驾驶 人 的 提前 警告 标志 ， 对 那些 在 冬季 气候 条 件 下 或 在 一 个 陌生 
的 地 方 开车 的 驾驶 人 很 有 帮助 。 尤 其 是 当 交 通 灯 前 面 是 一 个 大 转弯 时 ， 这 个 预警 
可 以 阻止 很 多 导致 灾难 的 问 红 灯 行 为 。 男 一 方面 ， 通 过 V2V 通信 罩 驶 人 可 以 更 
好 地 了 解 周围 的 驾驶 环境 ， 针 对 不 正常 的 情况 及 早 采 取 行 动 。OBU 周期 地 广播 
交通 相关 的 消息 ， 如 位 置 、 当 前 时 间 、 方 向 、 速 度 、 制 动 状态 、 转 向 角 信 息 、 转 
向 灯 、 加 速度 /减速 度 、 交 通 状 况 和 交通 事件 等 。 另 外 在 紧急 制 动 、 堵 车 或 其 他 
事故 的 情况 下 ，OBU 可 以 产生 并 发 送 紧 急 消 息 ， 如 图 1-2 所 示 。 当 高 速 公 路 发 
生 事 故 时 导致 车 道 被 堵塞 ， 会 造成 长 时 间 的 堵车 ， 如 果 驾 驶 人 能 够 提前 知道 这 些 
信息 ， 他 们 可 以 根据 情况 绕道 或 者 变 道 ， 避 免 交 通 堵塞 。 
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网 状 路 由 器 
中 在 我 的 区 域 
发 生 事故 ， 左 道 拥堵 


@ 前 方 由 于 事 
故 左 道 关闭 ， 请 准备 变换 到 右 道 


网 状 路 由 器 


@ 前 方 由 于 事 
故 左 道 关 闭 ， 请 从 278 出 
口 驶 出 避免 拥堵 


图 1-2 VANET 下 道路 紧急 情况 响应 示例 


VANET 可 以 发 挥 作 用 的 另 一 种 场景 是 校车 跟踪 ， 如 图 1-3 所 示 。 除 了 通信 
设备 (或 0BU) ， 包 括 校车 在 内 的 汽车 越 来 越 多 地 装备 了 GPS 设备 。 通 过 V2V 
和 V2I 通信 或 传统 的 蜂窝 数据 服务 [如 通用 分 组 无 线 业 务 (GPRS ) ] ， 校 车 的 位 
置 不 断 地 被 发 送 到 中 央 数 据 库 ， 父 母 可 以 跟踪 校车 的 状态 和 位 置 。 这 个 服务 尤其 
在 冬季 气候 十 分 恶劣 的 地 区 特别 有 用 ， 因 为 在 这 些 地 区 冬天 的 校车 总 是 不 能 准时 
出 现 。 有 了 这 个 服务 ， 家 长 可 以 检查 校车 的 位 置 ， 证 孩子 在 合适 的 时 间 出 门 坐 
车 ， 而 不 用 在 寒冷 的 室外 等 车 。 此 外 ， 如 果 校 车 配 有 个 人 跟踪 装置 [如 射频 识 
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别 (RFID) 阅读 器 ] ， 父 母 就 可 以 随时 随地 了 解 他 们 的 孩子 何 时 何 地 下 车 或 者 上 
车 。 当 学 生 上 和 车 或 下 车 时 ， 可 以 扫描 装 有 REID 芯片 的 专用 卡 ， 在 中 央 数 据 库 里 
更 新 他 们 的 状态 ， 家 长 可 以 访问 数据 库 来 查看 孩子 的 行踪 。 
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图 1-3 VANET 下 的 校车 跟踪 











通过 启用 V2V 和 V2I 通 信 ，VANET 开辟 了 新 的 途径 ,创造 了 更 加 便利 和 更 
加 安全 的 生活 方式 。 


1.2.3 VANET 的 特点 


VANET 是 移动 ad hoc 网 络 (MANET) 的 特例 ， 移 动 节 点 是 装 在 车 辆 上 的 
OBU 通信 设备 ， 如 图 1-4 所 示 。 因 此 VANET 有 一 些 与 MANET 不 同 的 独特 的 特 
点 [6, 7]。 

e 快速 的 拓扑 变化 。 由 于 车 辆 的 高 速 移 动 ，VANET 的 拓扑 通常 遵循 高 速 公 
路 和 街道 的 分 布 频繁 的 、 快 速 的 变化 。 

e 没有 功率 限制 。 车 辆 的 电池 可 以 自 充电 ， 因 此 在 VANET 中 不 必 考 虑 
MANET 手 持 设备 的 功率 限制 问题 。 

e 大 规模 。VANET 构成 了 世界 最 大 的 无 线 自 组 网 ， 在 现实 中 人 网 车 辆 数目 
是 大 约 107。 

e 可 变 的 网 络 密度 。 在 一 天 中 某 区 域 的 车 辆 数目 是 不 停 变动 的 ， 例 如 高 峰 
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移动 ad hoc 网 络 (MANET) 





图 1-4 VANET 和 MANET 之 间 的 关系 


期 间 的 道路 比 在 一 天 中 的 其 他 时 间 都 要 忙 。 
e 高 可 预测 的 流动 性 。 车 辆 在 城市 中 的 速度 范围 为 0 ~ 60km/h， 在 高 速 公 
路 上 平均 时 速 可 以 达到 I00km/h, ， 所 以 道路 几何 拓扑 影响 车 辆 的 移动 性 。 


表 1-1 从 拓扑 、 架 构 、 连 接 性 、 资 源 、 范 围 和 应 用 方面 总 结 了 VANET 和 
MANET 的 特点 。 











表 1-1 VANET 和 MANET 之 间 的 比较 





















































VANET MANET 

拓扑 高 速 公路 和 城市 道路 随机 

架构 车 车 ， 车 路 节点 到 节点 

连接 性 随机 和 断 续 随机 

资源 几乎 不 受 限 硬件 限制 ， 电 池 的 能 量 限 制 
范围 大 50 ~ 100 节点 

应 RAVE, ZOU, SEND (日 常生 活 ) 军事 、 救 灾 (特殊 用 途 ) 








1.3 ”安全 和 隐私 威胁 


在 VANET 中 可 能 存在 以 下 的 安全 攻击 : 
e 虚假 信息 攻击 。 攻 击 者 可 以 发 送 假 消息 以 达到 特定 的 目的 ,例如 可 以 将 


虚假 的 临近 紧急 车 辆 警报 给 其 他 车 辆 以 获得 更 好 的 交通 条 件 。 
。 未 经 授权 抢占 攻击 。 当 紧急 情况 发 生 时 ，RSU 可 以 用 来 控制 交通 灯 ， 因 


此 与 虚假 信息 攻击 类 似 ， 攻 击 者 可 能 通过 RSU 非法 中 断交 通 灯 ， 以 满足 一 些 特 
定 的 目的 [8]. 
。 消息 重 放 攻 击 。 攻 击 者 重 放 以 前 由 合法 来 源 发 送 的 有 效 消息 以 扰乱 交通 。 
。 消息 修改 攻击 。 消 息 在 传输 过 程 之 中 或 之 后 被 改变 ， 攻 击 者 可 能 希望 改 
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变 已 被 发 送 并 保存 在 其 设备 中 的 消息 的 源 或 内 容 中 的 位 置 和 /或 时 间 信 息 ， 从 而 
可 以 从 犯罪 或 交通 事故 事件 中 逃避 责任 。 

。 假冒 攻击 。 攻 击 者 可 以 伪装 成 其 他 车 辆 ， 甚 至 是 RSU 愚弄 别人 。 

e RSU 复制 攻击 。 一 个 RSU 可 能 会 受到 损害 ， 使 得 攻击 者 可 以 通过 RSU Jn 
动 恶意 攻击 ， 如 广播 虚假 交通 信息 。 

e 拒绝 服务 (DoS) 攻击 。 攻 击 者 发 送 不 相关 的 大 量 消息 占用 信道 和 消耗 
节点 的 计算 资源 ， 如 射频 干扰 、 干 扰 和 二 层 报 文 泛 洪 [9]. 

由 于 VANET 是 开放 的 共享 介质 ， 因 此 便于 进行 非法 信息 收集 和 人 处理。 攻击 
者 在 一 定 区 域 截获 足够 的 消息 后 ， 只 需 通过 信息 分 析 就 可 以 跟踪 车 辆 的 物理 位 置 
和 移动 模式 。 因 为 上 述 敏 感 信息 存在 泄露 风险 ， 所 以 解决 隐私 信息 的 泄露 问题 成 
为 VANET 设计 中 的 主要 问题 之 一 。 

e 个 人 信息 泄露 。 如 果 在 VANET 传输 的 信息 没有 被 保护 ， 那 么 攻击 者 可 以 
通过 嗅 探 网 络 很 容易 地 收集 信息 ， 并 发 现 一 些 用 户 相关 的 敏感 信息 ， 如 驾驶 人 的 
姓名 、 地 址 和 许可 。 个 人 信息 的 泄露 可 能 导致 身份 盗用 ， 这 将 扰乱 受害 人 的 个 人 
生活 。 

e 位 置 隐私 。 攻 击 者 在 一 定 区 域内 截获 足够 的 消息 后 ， 只 需 通过 信息 分 析 
就 可 以 跟踪 车 辆 的 物理 位 置 和 移动 模式 。 

在 无 线 通信 网 络 中 Dos 攻击 已 经 被 广泛 地 研究 [10 - 13] ， 因 此 本 书 将 不 涉 
及 DoS 攻击 的 安全 和 隐私 问题 。 


14 安全 和 隐私 保护 需求 


针对 上 述 威胁 ， 在 VANET 中 使 用 的 安全 机 制 应 满足 下 列 安全 要 求 : 

。 认证 性 。 认 证 是 确定 事物 确实 是 声称 的 事物 的 能 力 。 在 VANET 中 消息 认 
证 是 很 重要 的 ， 因 为 它 确保 接收 到 的 消息 是 由 合法 并 授权 的 车 辆 发 送 的 。 

。 完整 性 。 完 整 性 是 确保 车 辆 之 间 交 换 的 信息 没有 经 过 修改 、 增 加 或 删除 
的 能 力 。 完 整 性 保证 车 辆 发 出 的 所 有 消息 不 被 改变 。 

© 不 可 否认 性 。 不 可 否认 性 是 防止 授权 的 车 辆 否认 自己 发 送 消息 或 内 容 的 
能 力 。 不 可 抵赖 性 是 VANET 的 一 个 关键 特性 ， 因 为 它 可 以 防止 攻击 者 否认 他 / 
她 发 起 了 攻击 。 

e 访问 控制 。 访 问 控 制 是 必要 的 ， 以 确保 系统 的 可 靠 和 安全 操作 。 在 
VANET 中 任何 行为 不 端的 实体 不 应 接 入 网 络 ， 以 保护 网 络 中 其 他 合法 实体 的 安 
全 性 。 此 外 行为 不 端的 实体 发 出 的 任何 行动 应 该 予以 撤销 。 

。 隐私 。 隐 私 保护 是 保护 私人 信息 不 被 未 授权 实体 获得 的 能 力 。 在 VANET 
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中 任何 个 人 车 辆 的 真实 身份 是 不 能 被 其 他 车 辆 和 RSU 获得 的 ， 而 应 是 透明 地 传 
输 到 可 信 的 机 构 (TA), 件 的 隐私 保护 。 目 前 IEEE 
802. 11p 标准 [14] 和 IEEE 1609.x 在 WAVE 标准 [15] 中 被 称 为 无 线 接 人 。 
因为 作为 一 个 整体 ， 它 们 的 目标 是 为 了 方便 地 在 车 载 环 境 中 提供 无 线 接 人 。 


1.5 挑战 和 展望 








1.5.1 VANET 中 有 条 件 的 隐私 保护 


隐私 保护 是 VANET 非常 重要 的 需求 。 车 辆 的 隐私 敏感 信息 ， 如 驾驶 人 的 姓 
名 和 车 牌 、 位 置 和 行 强 路 线 如 果 被 泄露 ， 就 会 使 驾驶 人 的 个 人 隐私 受到 损害 。 因 
此 ， 安 全 消息 的 源 隐私 问题 是 VANET 安全 的 一 个 关键 问题 。 对 于 实际 部 署 的 
VANET 来 说 ， 源 隐私 保护 的 安全 消息 认证 是 至 关 重 要 的 。VANET 网 络 的 隐私 保 
护 应 该 是 有 条 件 的 ， 对 于 接收 者 来 说 ， 发 送 者 是 匿名 的 ， 同 时 可 以 被 权威 机 构 
[ 如 证 书 颁发 机 构 (CA)] 跟踪 。 一 旦 发 生 有 和 争议 的 安全 消息 , 该 CA 可 以 追溯 
消息 来 源 的 身份 。 

有 条 件 隐私 保护 在 VANET 中 很 重要 ， 目 前 有 很 多 人 在 研究 这 个 问题 。Raya 
[6] 提出 了 基于 匿名 密 钥 对 的 安全 协议 ， 以 下 称 为 匿名 凭据 。 在 车 辆 中 安装 大 
量 的 短 周期 的 匿名 凭据 ， 并 随机 选择 其 中 一 个 证 书 为 每 个 消息 签名 ， 从 而 满足 车 
辆 的 匿名 要 求 。 此 外 还 设计 了 一 个 唯一 的 电子 标识 ， 用 于 警察 将 车 辆 持 有 者 和 发 
起 的 消息 进行 关联 。 但 是 当 CA 想 识别 恶意 消息 的 发 送 者 时 ,该 协议 的 效率 很 
低 ， 因 为 CA 需要 保留 行政 区 域 (可 以 是 一 个 省 或 整个 国家 ) 内 所 有 车 辆 的 匿名 
凭据 ， 一 旦 检测 到 恶意 的 消息 ，CA 需要 在 一 个 非常 大 的 证 书 数据 库 中 详细 地 查 
找 与 损害 匿名 凭据 相关 的 标识 ， 这 会 导致 复杂 的 身份 和 信用 管理 。 此 外 ， 由 于 受 
损 的 或 过 期 的 车 辆 已 经 被 撤销 ， 属 于 这 些 撤销 车 辆 所 有 凭据 需要 释放 到 证 书 撤销 
列表 (CRL) 中 ,从 而 大 大 地 增加 了 CRL 的 大 小 , 使 CRL 的 传播 变 得 很 难 
控制 。 

此 外 ， 对 于 有 条 件 的 隐私 保护 来 说 ， 另 一 个 面临 的 挑战 是 认证 和 保密 之 间 的 
平衡 。 为 了 确保 一 个 节点 不 假冒 男 一 个 节点 ， 必 须 验 证 所 有 传输 的 消息 ， 这 将 导 
致 可 以 从 发 送 的 消息 中 识别 车 辆 一 一 这 是 多 数 消费 者 都 不 喜欢 的 行为 。 因 为 汽车 
是 高 度 个 性 化 的 设备 ， 隐 私 是 VANET 中 的 一 个 主要 问题 ， 这 必须 在 车 辆 及 其 驾 
驶 人 的 问 责 和 责任 之 间 建 立 平衡 。 这 需要 设计 一 个 认证 系统 ， 对 普通 节点 来 说 信 
息 是 匿名 的 ， 但 是 对 于 汽车 事故 中 与 责任 相关 的 情况 ， 消 息 是 可 以 被 中 心 授权 机 
构 标 识 的 。 
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1.5.2 VANET 中 有 效 撤销 的 认证 


在 许多 情况 下 ， 如 当 证 书 中 的 私 钥 被 标识 为 受到 损害 时 ， 车 辆 或 者 RSU 的 
证 书 需要 被 撤销 。 在 传统 的 公共 密 钥 基础 设施 (PKI) 系统 中 ,通常 使 用 的 证 书 
撤销 方法 是 通过 CRL 列表 在 整个 网 络 上 广播 来 实现 的 。 该 CRL 是 由 可 信 管 理 机 
FJ (TA) 颁布 的 含有 撤销 车 辆 的 证 书 撤销 列表 。 但 是 这 种 方法 对 于 VANET 来 说 
是 一 个 巨大 的 挑战 ， 有 以 下 几 个 原因 : ORSU 的 分 布 是 分 散 的 ， 当 车 辆 行驶 在 
农村 地 区 时 ， 就 可 能 由 于 RSU 稀少 而 无 法 及 时 更 新 CRL; OHF VANET 的 规模 
较 大 ，CRL 的 分 发 可 能 会 有 延迟 ， 因 此 即使 车 辆 被 撤销 了 也 可 以 进行 恶意 的 行 
为 。 同 样 ， 出 现 因 为 系统 中 的 故障 而 导致 的 车 辆 不 良 行为 而 被 不 公平 加 入 到 
CRL 的 情况 时 ， 确 保 撤销 的 公平 性 也 是 VANET 面临 的 一 大 挑战 。 因 此 证 书 撤销 
系统 需要 解决 的 问题 是 : 

1) 如 何 降 低 分 发 CRL 的 开销 。 

2) 如 果 车 辆 分 布 在 大 范围 区 域 ， 如 何 及 时 通知 撤销 事件 。 

3) 如 果 RSU 的 存储 能 力 很 小 而 CRL 非常 大 ， 如 何 解 决 存储 问题 。 

4) 如 何 加 速 警告 信息 在 网 络 中 的 传播 。 

基于 集中 式 架 构 的 解决 方案 包括 证 书 吊销 系统 (CRS)、 证 书 撤销 树 
(CRT) 、 在 线 证 书 状 态 协 议 (OCSP) [16] 等 。 这 些 方案 的 共同 特点 是 ， 集 中 
的 CA 5 OBU 进行 频繁 的 数据 传输 以 获得 及 时 的 撤销 信息 ， 可 以 带 来 高 可 用 性 ， 
但 是 也 会 引起 显著 的 开销 。 因 此 对 于 具有 高 速 移动 性 和 大 量 网 络 实体 的 VANET 
网 络 来 说 ， 集 中 的 CRL 架构 不 是 一 个 好 的 解决 方案 。 

Raya 等 人 [6] 提出 了 在 VANET 中 应 用 的 三 个 证 书 吊 销 协议 : 使 用 压缩 证 
书 吊销 列表 的 撤销 (RC2RL) 、 防 算 改 设备 的 撤销 (RTPD ) 和 分 布 式 撤销 协议 
(DRP)。 压 缩 技术 可 以 减少 CRL 分 发 的 开销 ，RTPD 移 除 与 CRL 中 对 应 车 辆 的 
撤销 证 书 ， 而 不 是 通过 引入 作为 车 辆 的 密 钥 和 证 书 管理 工具 的 防 算 改 装置 来 检查 
的 证 书 的 状态 ， 在 持 有 吊销 证 书 的 机 动车 拥有 者 被 告知 撤销 的 情况 下 防 算 改 设备 
会 自动 删除 这 些 吊 销 证 书 。 与 RC2RL 和 RTPD 不 同 ,分 布 式 证 书 撤销 机 制 在 
DRP 中 实施 以 确定 证 书 的 状态 。 在 DRP 中 ， 每 辆 车 都 配备 有 攻击 检测 系统 ， 能 
使 车 辆 确定 任何 损害 对 等 体 ， 当 检测 到 并 定位 了 恶意 车 辆 后 ， 它 的 邻居 可 以 一 起 
临时 撤销 损害 的 证 书 。 


1.6 标准 化 和 相关 的 活动 


在 VANET 中 ，V2V 和 V2I 的 安全 通信 要 求 是 必需 的 ， 而且 已 经 引起 了 工业 
界 和 学 术 界 的 关注 ， 在 过 去 的 几 年 里 已 经 开展 了 很 多 相关 的 研究 。 美 国运 输 部 在 









































9 


eee 车 载 ad hoc 网 络 的 安全 性 与 隐私 保护 


2002 年 启动 了 汽车 安全 通信 (VSC) 项 目 [4]， 目 的 是 评估 通过 电信 技术 (如 
DSRC 标准 ) 实现 车 辆 安全 / 非 安全 应 用 的 可 行 性 [3], VSC 项 目 调查 了 VSC 相 
关 的 安全 问题 ， 并 确定 了 VSC 系统 四 个 主要 安全 目标 : 消息 完整 性 / 源 认 证 、 正 
确 性 、 保 密 性 和 抗 攻 击 性 ， 并 且 讨 论 了 实现 上 述 安全 目标 的 可 能 解决 方案 。VSC 
项 目 提 出 了 双重 认证 架构 ， 使 用 短 生命 周期 的 匿名 证 书 列表 来 保证 OBU 的 隐私 ， 
实现 安全 性 。 该 短 生命 周期 的 证 书 一 旦 使 用 ， 就 会 被 丢弃 。 在 该 架构 中 采取 了 在 
匿名 证 书 里 使 用 假名 代替 车 辆 真实 标识 的 方法 来 保护 车 辆 的 隐私 。 另 外 ， 使 用 传 
统 的 分 级 PKI 来 确保 RSU 和 公共 安全 OBU 的 安全 。 因 为 RSU 和 公共 安全 OBU 
不 具有 任何 隐私 问题 。 该 方案 可 以 提供 更 高 水 平 的 隐私 保护 和 安全 ， 因 为 证 书 是 
由 证 书 颁 发 机 构 (CA) 盲 签 的 ， 这 样 可 以 应 付 各 种 可 能 的 内 部 攻击 。 内 部 攻击 
可 以 通过 滥用 职权 的 CA 错误 操作 驾驶 人 信息 而 简单 地 启动 。 为 了 实现 可 跟踪 
性 ， 授 权 机 构 需要 将 育 签 的 匿名 证 书 和 车 辆 进行 关联 。 所 有 被 感染 的 和 过 期 的 车 
辆 通过 将 属于 这 些 车 辆 的 匿名 证 书 存储 在 CRL 中 的 方法 进行 撤销 。 这 个 方案 的 
缺点 是 CRL 列表 可 能 会 很 快 变 得 很 长 ， 需 要 很 长 的 时 间 来 检查 完整 的 CRL 列 
表 ， 以 查看 给 定 的 证 书 是 否 有 效 。 另 一 个 缺点 是 为 实现 可 追溯 ， 需 要 为 每 辆 车 分 
配 唯一 的 电子 身份 ， 使 警察 和 其 他 部 门 在 有 争端 的 时 候 来 检查 车 辆 持 有 者 的 身 
份 。 虽然 这 个 方案 能 够 有 效 满足 匿名 要 求 的 条 件 ， 但 是 效率 较 低 ， 很 难 成 为 一 个 
可 扩展 和 可 靠 的 方法 ， 因 为 身份 管理 机 关 需 要 保留 在 行政 区 域内 所 有 车 辆 的 匿名 
证 书 ， 一 旦 确认 了 恶意 消息 ， 该 机 构 必 须 在 一 个 非常 大 的 数据 库 进 行 搜 索 以 找到 
受 损 的 匿名 证 书 的 真实 身份 。 

在 欧洲 也 有 很 多 类 似 的 项 目 正在 进行 。 由 通用 汽车 、 奥 迪 、 宝 马 、 菲 亚 特 、 
本 田 、 雷 诺 等 支持 的 欧洲 车 载 通信 联盟 [17] 正在 研究 如 何 使 用 V2V 技术 来 提 
高 驾驶 安全 性 和 体验 感 。 成 功 部 署 车 辆 通信 的 前 提 条 件 是 保证 车 辆 通信 是 安全 
的 ， 并 且 驾 驶 人 的 隐私 是 受到 保护 的 。 欧 洲 已 经 资助 了 安全 车 辆 通信 (SeVe- 
Com) JIA [18] ， 该 项 目 是 eSafety 计划 [19] 、 信 息 社会 和 媒体 倡议 [20] 以 
及 欧盟 第 六 个 框架 计划 [21] 的 内 容 ， 主 要 分 析 面 向 车 辆 通信 安全 和 隐私 的 威 
胁 、 定 义 车 辆 通信 的 安全 要 求 ， 并 研究 适合 于 VC 环境 的 密码 原 语 。2011 年 ， 欧 
盟 委 员 会 第 七 框架 计划 [22] 资助 了 Preparing Secure Vehicle -to -X Communi- 
cation Systems (PRESERVE) 项 目 ， 它 的 目标 是 针对 V2X 通信 (V2V 和 V21) 
设计 并 开发 一 套 安 全 和 可 扩展 的 安全 系统 ， 可 应 用 于 现实 的 部 署 情况 。 该 项 目 所 
开发 的 V2X 安全 子 系统 (VSS) 在 项 目 网 站 上 是 公开 的 。 

与 此 同时 ， 国 际 标准 化 组 织 已 经 开始 制定 V2V 通信 的 标准 ，IEEE 1609 
(WAVE) 通信 标准 即 专用 短程 通信 (DSRC) 的 协议 ， 最 近 扩 展 了 802.11 标准 ， 
使 路 边 基础 设施 支持 车 辆 之 间 的 无 线 通信 [5] IEEE 1609.2 标准 解决 了 WAVE 
消息 的 安全 传输 问题 ， 以 对 抗 窃 听 、 欺 骗 和 其 他 攻击 。IEEE1609. 2 安全 基础 设 
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施 的 架构 如 图 1-5 所 示 。 该 架构 是 基于 PKI 行业 标准 ,包括 支持 椭圆 曲线 加 密 
(ECC) [23], WAVE 证 书 格式 和 混合 加 密 方式 ， 为 WAVE 通信 提供 安全 服务 。 
安全 基础 设施 还 负责 支持 核心 安全 功能 的 管理 功能 ， 如 证 书 吊销 等 。 需 要 注意 的 
是 ， 对 于 一 些 原因 不 明 的 原因 ， 例 如 如 果 证 书 中 指定 的 公共 密 钥 相对 应 的 私有 密 
钥 被 确定 受到 损害 ， 那 么 任何 基于 PKI 的 安全 系统 都 需要 撤销 证 书 ， 但 是 在 当前 
的 IEEE1609. 2 标准 中 并 没有 解决 这 个 问题 。 同 样 正 EE1609. 2 也 没有 定义 驾驶 
人 身份 和 隐私 保护 ， 留 下 了 很 多 有 待 解决 的 问题 。 


DSRC/WAVE 应 用 
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假设 Alice 是 发 送 者 ，Bob 是 接收 者 
图 1-5 IEEE 1069.2 提供 的 在 WAVE 设备 间 传 输 消息 的 安全 服务 








1.7 ZERE 


为 了 保证 VANET 的 安全 ， 需 要 考虑 下 面 的 安全 原 语 并 在 VANET 中 使 用 。 
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1) 机 密 性 原 语 。 为 了 对 抗 攻击 ，VANET 可 以 使 用 加 密 技术 实现 机 密 性 。 加 
密 是 一 种 重要 的 密码 技术 ， 它 可 以 将 明文 数据 变 为 密 文 数据 传输 以 抵制 窃听 攻 
击 。 根 据 在 加 密 中 使 用 不 同 的 密 钥 介质 ， 加 密 技 术 可 被 分 为 对 称 密 钥 加 密 和 非 对 
称 密 钥 加 密 ， 如 图 1-6 所 示 。 对 称 密 钥 加 密 方式 在 加 密 ， 解 密 时 采用 相同 的 密 
钥 ， 如 AES 和 数据 加 密 标准 (DES) [24]。 非 对 称 密 钥 加 密 方式 采用 不 同 的 密 
钥 用 于 加 密 和 人 解密， 公共 密 钥 用 于 加 密 ， 私 钥 被 用 于 人 解密， 如 Rivest -Shamir - 
Adleman (RSA) [25] 和 El Gamal [26] 的 算法 。 因 此 在 VANET 中 如 果 两 台 车 
辆 或 车 辆 和 RSU 之 间 已 经 存在 共享 的 密 钥 ,那么 就 可 以 有 效 地 采用 对 称 密 钥 加 
密 方式 来 实现 通信 的 保密 性 。 如 果 每 辆 车 (或 RSU) 都 具有 公 钥 一 私 钥 对 ， 那 
么 公 钥 加 密 可 用 于 实现 通信 的 机 密 性 。 但 是 与 对 称 密 钥 加 密 方式 相 比 ， 非 对 称 密 
钥 加 密 方式 的 效率 要 低 得 多 。 


























密 文 c c Bue c 
APPR RLU JNR 
图 1-6 对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 
因此 有 必要 结合 对 称 和 非 对 称 密 钥 加 密 的 方法 引入 混合 加 密 概念 ， 即 混合 加 
密 ， 如 图 1-7 所 示 。 混 合 加 密 方法 将 数据 的 安全 传输 分 为 两 个 阶段 ， 首 先 使 用 非 
对 称 密 钥 加 密 方式 传输 共享 密 钥 ， 即 发 送 方 用 公 钥 对 随机 选择 的 共享 密 钥 进行 加 
密 并 传输 给 接收 方 ， 接 收 方 使 用 私 钥 进行 解密 得 到 共享 密 钥 ; 然后 发 送 方 和 接收 
方 使 用 该 共享 密 钥 对 传输 的 数据 进行 加 密 和 解密 ， 保 证 数据 传输 的 安全 性 。 这 种 
方式 结合 了 两 种 不 同 的 加 密 系 统 的 特点 ， 解 决 了 密 钥 管理 的 问题 ， 并 获得 了 较 高 
的 加 密 与 解密 速度 。 
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ER 


— — = o -— o 解密 m 


MERZI 一 kk 
k 





ux 
对 秘密 铀 加 密 in 
图 1-7 混合 加 密 方式 


12 


第 1 章 M 述 eoo 


2) 数据 完整 性 和 认证 原 语 。 建 议 在 VANET 中 采用 消息 认证 码 (MAC) 和 
数字 签名 的 方法 实现 数据 完整 性 和 源 认 证 ， 如 图 1-8 所 示 。 如 果 两 辆 车 共用 一 个 
密 钥 ， 则 两 车 可 以 使 用 MAC 来 实现 数据 完整 性 和 源 认 证 。 但 是 如 果 一 组 车 辆 共 
享 相同 的 密 钥 ， 则 只 能 确保 数据 完整 性 而 不 能 认证 源 ， 因 为 持 有 密 钥 的 车 辆 可 以 
产生 相同 的 MAC 值 。 如 果 每 辆 车 都 具有 公 钥 一 私 钥 对 ， 那 么 数字 签名 就 可 以 实 
现 数据 完整 性 和 源 认 证 ， 其 中 私有 密 钥 被 用 于 签名 生成 ， 公 钥 被 用 于 签名 验证 。 
另外 ， 为 了 解决 公共 密 钥 密码 系统 的 效率 低下 问题 ， 特 别 是 处 理 较 大 的 消息 时 ， 
原始 消息 的 哈 希 值 是 在 发 送 者 签名 前 计算 的 。 需 要 注意 的 是 ， 为 了 抵抗 VANET 
的 重 放 攻击 ， 需 要 将 时 间 惟 垦 入 传输 的 消息 中 。 
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消息 验证 码 数字 签名 








图 1-8 消息 验证 码 和 数字 签名 


3) 不 可 抵赖 原 语 。 不 可 抵赖 性 是 指 消息 的 发 送 者 不 能 事后 否认 曾 发 送 消 
息 ， 消 息 的 接收 者 不 能 否认 收 到 该 消息 。 在 VANET 中 可 以 通过 数字 签名 的 方法 
实现 不 可 抵赖 性 。 

4) 隐私 原 语 。 在 VANET 中 ， 隐 私 挑战 包括 面向 内 容 的 隐私 和 上 下 文 的 隐 
私 。 面 向 内 容 的 隐私 也 称 为 机 密 性 ， 可 以 通过 上 面 介绍 的 加 密 技术 来 实现 。 上 下 
文 隐私 意味 着 攻击 者 有 能 力 将 消息 的 源 和 消息 的 目的 联系 起 来 [27] 或 者 有 能 
力 暴露 车 辆 的 真实 身份 。 为 了 在 VANET 中 实现 上 下 文 隐 私 包 含 ， 可 以 采用 一 些 
匿名 的 技术 ， 如 混合 网 络 [28 ] 、 聚 合 加 密 [29] 或 群 签名 [30]。 

最 近 通 过 的 IEEE 1609. 2 一 2013 标准 中 ， 建 议 在 VANET 中 采用 Advanced 
Encryption Stau -lord (AES) 和 椭圆 曲线 集成 加 密 方 案 (ECIES) SCHUM PRAHA 
加 密 和 非 对 称 密 钥 加 密 。 

此 外 ， 还 建议 在 VANET 中 采用 椭圆 曲线 数字 签名 算法 (ECDSA) 作为 数字 
签名 算法 。 然 而 由 于 VANET 独特 的 特点 和 特殊 挑战 ， 标 准 中 推荐 的 算法 不 能 完 
全 解决 所 有 的 安全 和 隐私 问题 。 因 此 在 下 面 的 章节 中 ， 本 书 将 介绍 多 种 安全 机 制 
来 解决 VANET 面临 的 安全 和 隐私 的 挑战 。 本 书 中 的 大 部 分 安全 机 制 是 建立 在 双 
线性 对 基础 上 的 ， 因 此 ， 下 面 先 简要 介绍 一 下 双 线 性 映射 。 
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(1) 素数 阶 双 线 性 群 

双 线 性 映射 是 一 个 重要 的 密码 原 语 , 已 被 广泛 应 用 于 密码 学 的 许多 应 用 
[31]. 假设 G 是 一 个 循环 加 法 群 ，Gy 是 相同 的 素数 阶 g 的 循环 乘法 群 。 假 设 G 和 
Gy 的 离散 对 数 问 题 是 困难 的 。 双 线性 映射 是 e: G xG 一 Gy 的 映射 ,满足 以 下 特 
TE. 

1) 双 线 性 : 对 于 任意 的 P,Q e G 和 a,b e Z? ,e(aP,bQ) = e(P,Q)", 

2) 非 退 化 性 : 存在 PeG 和 0 eG ,那么 e(P,0) # le,。 

3) 可 计算 性 : 存在 有 效 的 算法 ,对 于 所 有 的 P,Q0 e C 都 可 以 计算 e(P, 0)。 

从 参考 文献 [31] 中 可 以 看 出 ， 可 以 使 用 修改 后 的 具有 超 奇 异 椭圆 曲线 相 
XH Weil 对 实现 这 样 的 双 线 性 配对 。 请 注意 本 书 经 常 使 用 G 作为 乘法 群 ， 即 对 
于 任何 的 g, heG 和 a, bez? , HERIDA elg, h’) = e(g,h)” « 

(2) 定义 1 〈 双 线性 发 生 器 ) 

双 线 性 参数 发 生 器 5 en 是 一 个 概率 算法 ， 安 全 参数 « 作为 输入 ， 输 出 五 元 组 
(q, P, G, Gr, e), EP q 是 一 个 的 k ERR, (G, +) 和 (Gr, x) 
是 具有 相同 阶 数 q 的 两 个 组 ，PeG 是 发 生 器 ，e: G xG 一 Gy 是 可 接受 的 双 线 性 
映射 。 

(3) 素数 阶 的 非 对 称 双 线性 组 

假设 G G ' 和 G 7 是 三 个 具有 相同 素数 阶 q 的 循环 乘法 群 ,， 即 |1 G1 =1G'l = 
1 Grl =q. 令 P 为 G 的 发 生 器 ,已 是 G ' 的 发 生 器 ,， FE v ZAC ' 到 G 的 同 构 ， 
y(P') =P, 一 个 高 效 的 可 接受 的 双 线性 映射 e: G xG ' 一 Gy 具有 以 下 特性 : 

1) 双 线 性 : 对 于 所 有 的 Pl eG,P,eG’'’ 和 a, be Za (aP,, 
bP,) Sa RI T. 

2) 非 退 化 性 : 存在 Pl e GRIP, EG’, WMe(P,,P,) e, 

3) 可 计算 性 : 对 任何 的 Pl eG , P, eG '， 存 在 有 效 的 算法 计算 e(P, ,P,) sGy。 

这 样 一 个 可 接受 的 不 对 称 双 线性 映射 e 可 以 在 椭圆 曲线 通过 修改 的 Weil 或 
Tate 对 构成 。Boneh 等 [32] 提出 的 MNT 曲线 上 的 Tate 对 是 一 种 有 效 的 实现 方 
法 。 其 中 ，G 关 G '， 同 构 单 向 可 以 由 跟踪 映射 来 实现 ， 并 且 当 阶 数 g 是 一 个 
170bit 的 素数 时 ，G 的 表述 可 以 表示 为 171bit。 通 过 这 样 的 结构 ，G 的 离散 对 数 
问题 可 达到 和 p 为 1020bit 的 QZ 的 离散 对 数 一 样 难度 。 需 要 注意 的 是 ， 我 们 有 时 
也 将 G ，G ' 作 为 这 本 书 的 乘法 群 ， 即 对 所 有 的 gj eG, geG' 和 a, beZf,e 
(at 3) e(t)". 

(4) 定义 2 〈 非 对 称 双 线性 发 生 器 ) 

非 对 称 双 线 性 参数 发 生 器 Aben 是 一 个 概率 算法 ， 它 将 安全 参数 作为 输 
和 人 和， 输 出 一 个 7 元 组 (q, G, G', Gr, e, g, g) 作为 双 线性 参数 ， 包 括 一 个 
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1 41 = 的 素数 g，3 个 具有 相同 阶 数 g 的 循环 群 G 、G '、G r， 可 接受 的 双 线 
性 映射 e: G xG 一 G7 和 G , G'PU' Este. g'o 


1.8 本 书 概要 


本 书 第 2 章 介绍 一 种 VANET 的 安全 和 隐私 保护 协议 GSIS。 该 协议 是 以 群 签 
名 和 标识 (ID) 为 基础 的 签名 技术 的 组 合 。 第 3 草 主 要 描述 了 VANET 中 高 效 的 
有 条 件 隐私 保护 协议 ECPP, 98 4 章 主要 描述 了 在 VANET 中 使 用 PCS 策略 中 有 
效 的 化 名 变化 来 实现 车 辆 高 层 位 置 隐私 保护 ， 第 5 章 主 要 描述 VANET 中 RSU fü 
助 消 息 认证 方案 , 第 6 章 主要 描述 基于 TESLA 的 广播 认证 ,第 7 章 和 第 8 章 主 
要 描述 VANET 中 的 分 布 式 协 作 消息 认证 和 情景 感知 的 协作 式 认 证 。 第 9 章 主要 
描述 基于 移动 预测 和 单 向 哈 希 链 组 合 的 无 颖 认证 方案 。 
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452% GSIS: 基于 群 签名 和 基于 ID 
签名 的 安全 和 隐私 保护 协议 





2.1 概述 


随 着 无 线 通信 技术 的 发 展 和 广泛 部 署 ， 人 们 可 以 以 方便 和 灵活 的 方式 获得 个 
人 通信 服务 和 互联 网 服务 ， 彻 底 改 变 了 人 类 的 生活 方式 。 最 近 汽 车 制造 商 和 电信 
行业 已 经 做 好 准备 ， 为 汽车 装备 一 种 新 的 技术 ， 人 允许 车 辆 之 间 相 互通 信 以 提 高 轰 
Jbpkus, EN KVH [1] 和 微软 的 MSN TV [2] 引入 了 一 种 TracNet 汽车 互联 网 
接 人 系统 ， 它 可 以 将 互联 网 服务 引入 到 车 载 电视 屏幕 上 ， 使 车 辆 变 成 了 基于 
IEEE 802.1 协议 的 Wi- 记 热点 ,乘客 可 以 使 用 他 们 的 无 线 终 端 访问 互联 网 。 此 
外 通过 使 用 配备 在 车 辆 上 的 通信 设备 [ 如 车 载 单元 (OBU)] ， 车 辆 之 间 以 及 车 
辆 与 道路 的 路 边 设施 (路 侧 单 元 ) (RSU) (如 交叉 路 口 的 交通 灯 等 ) 可 以 进行 
通信 。 通 过 OBU 和 RSU 形成 的 自 组 织 网 络 ， 称 为 车 辆 ad hoc 网 络 (VANET)。 
由 于 无 线 接 入 点 的 成 本 低 而 且 易 于 部 署 ， 因 此 可 以 在 路 边 密集 地 部 署 像 交 通 灯 、 
交通 标 和 无 线路 由 器 这 样 的 RSU， 为 车 辆 提供 到 道路 的 无 线 接 入 。 男 外 ，RSU 
可 以 连接 到 互联 网 骨干 网 以 支持 多 样 化 的 服务 ， 如 TCP 和 实时 多 媒体 流 应 用 。 
因此 工业 界 和 学 术 界 已 经 越 来 越 多 地 关注 路 边 对 车 辆 通信 (RVC) 和 车 辆 间 通 
H (IVC) ， 在 提高 行车 安全 和 交通 管理 效率 的 同时 为 驾驶 人 和 乘客 提供 互联 网 
接 人 服务 。 

VANET 的 产生 对 交通 管理 和 道路 安全 是 非常 重要 的 ， 但 是 VANET 也 面临 着 
很 多 的 挑战 ， 特 别 是 安全 和 隐私 问题 。 作 为 移动 自 组 织 网 络 (MANET) 的 一 种 
特殊 实现 ，VANET 可 能 会 受到 很 多 的 安全 威胁 ， 导 致 越 来 越 多 的 恶意 攻击 和 服 
务 滥用 。 很 明显 ， 任 何 用 户 的 恶意 行为 如 修改 或 者 重 放 传播 的 消息 可 能 会 对 其 他 
用 户 造成 致命 的 影响 ， 而 且 条 件 隐 私 保护 必须 保护 用 户 相关 的 私人 信息 ， 如 驾驶 
人 的 名 字 、 和 车牌、 速度、 位 置 、 制 造 商 、 型 号 、 车 辆 识别 代号 (VIN) 、 行 进 的 
路 线 以 及 这 些 信 息 之 间 的 关系 。 授 权 机 构 应 该 能 够 妃 溯 消息 发 送 者 的 身份 ， 当 发 
生 交 通 相关 的 纠纷 案件 (如 犯罪 或 者 事故 现场 勘查 ) 时 可 以 用 来 寻找 证 人 。 因 
此 在 VANET 实际 部 署 之 前 设计 一 套 安 全 机 制 ， 实 现 安全 保证 和 有 条 件 的 隐私 保 
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护 是 十 分 重要 的 ， 但 是 之 前 只 有 极 少数 的 人 研究 了 VANET 的 安全 和 隐私 问题 。 

本 章 主要 描述 了 如 何在 车 载 通信 应 用 中 解决 安全 保证 和 条 件 隐私 保护 的 问 
题 ， 在 VANET 中 引入 了 一 种 新 新 的 安全 和 隐私 保护 协议 GSIS [3 ] ， 该 协议 集成 
了 群 签名 [4] 和 基于 身份 的 签名 技术 [5] 。 根 据 不 同 的 需求 ， 安 全 问题 可 以 分 
为 以 下 两 个 方面 : 中 多 个 OBU 之 间 的 安全 和 隐私 保护 问题 ，@0BU 与 RSU 之 间 
的 安全 与 隐私 保护 问题 。 在 第 一 个 场景 中 群 签名 用 于 实现 OBU 之 间 的 保密 通信 ， 
消息 可 以 由 发 送 者 安全 和 匿名 地 签署 ， 而 发 送 者 的 身份 信息 可 以 由 授权 机 构 
(或 在 群 签名 方案 中 的 组 管理 员 ) 确定 。 在 第 二 场景 中 ，RSU 使 用 基于 身份 的 加 
a (IBC) 签名 方案 签发 RSU 发 出 的 消息 以 确保 消息 的 真实 性 ， 可 以 大 大 降低 签 
名 的 开销 。 安 装 在 紧急 救援 车 辆 上 的 OBU 可 以 看 成 是 RSU， 因 为 在 应 急 车 辆 上 
安装 的 OBU 和 RSU 之 间 的 通信 不 需要 进行 隐私 保护 。 在 IBC 方案 中 任意 字符 串 
都 可 以 作为 RSU 或 应 急 车 辆 的 有 效 公 钥 ， 如 RSU 的 位 置 、 唯 一 数值 、RSU 的 代 
码 或 紧急 车 辆 的 车 牌号 [6] 。 通 过 这 种 方式 为 RSU 或 应 急 车 辆 分 配 的 公 钥 ， 与 
传统 的 公 钥 基 础 设施 (PKI) 相 比 ， 可 以 大 大 简化 VANET 中 的 证 书 管理 。 

在 本 章 中 ，2. 2 节 介 绍 了 GSIS 协议 的 背景 情况 和 一 些 预 备 的 知识 ，2. 3 节 详 
细 描 述 了 协议 的 信 令 流程 ，2.4 节 通 过 仿真 评估 了 该 协议 的 性 能 ，2. 5 节 对 本 章 
进行 了 总 结 。 


























2.2 预备 知识 和 背景 介绍 


2.2.1 和 群 签名 


群 签名 的 概念 最 早 是 在 1991 年 推出 的 [4] ， 作 为 标准 的 数字 签名 的 变 体 ， 
它 人 允许 组 的 成 员 代表 组 对 消息 进行 签名 ， 而 不 需要 确定 签名 者 的 身份 。 接 收 到 组 
签名 后 任何 人 都 可 以 检查 其 有 效 性 ， 但 是 接收 者 并 不 知道 是 哪个 成 员 签 署 的 消 
息 。 此 外 关于 群 签 名 方案 ， 很 重要 的 一 点 是 要 有 管理 员 负 责 管理 组 成 员 ， 当 有 和 争 
议事 件 发 生 时 可 以 确定 消息 签名 者 的 真实 身份 。 
群 签名 的 机 制 可 以 满足 VANET 的 安全 和 隐私 保护 需求 ， 特 别 是 车 车 通信 中 
的 有 条 件 隐 私 问题 。 
2.2.2 双 线 性 对 和 基于 身份 的 加 密 

本 书 在 1.7 节 已 经 讨论 了 双 线 性 对 ， 双 线性 对 可 以 解决 一 些 以 前 无 法 解决 的 
问题 ， 如 基于 身份 的 加 密 (IBC) [6], IBC 是 一 种 公 钥 密码 体制 ， 可 以 使 用 任 
何 字符 串 作为 有 效 的 公共 密 钥 ， 如 用 户 名 、 电 子 邮 件 地 址 、IP 地 址 和 主机 或 节 
点 的 名 称 。 
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与 传统 的 公 钥 密码 体制 相 比 ，IBC 可 以 使 用 任何 公共 标识 作为 用 户 的 公 钥 来 
简化 证 书 管理 ， 而 且 在 设计 签名 方案 和 安全 协议 时 使 用 了 双 线 性 对 。 使 基于 配对 
方案 的 签名 开销 较 小 ， 因 此 与 传统 的 RSA [7] 和 了 li Gamal [8] 相 比 ， 它 可 以 
节约 通信 带宽 。IBC 的 这 些 特性 使 它 成 为 保护 RSU 通信 的 一 个 很 好 的 候选 方法 。 


2.2.3 威胁 模型 


ZEN I VANET 可 能 面临 的 攻击 ， 如 下 所 示 。 

e 虚假 信息 攻击 : 攻击 者 为 了 特定 的 目的 发 送 虚假 信息 ,例如 将 假 的 交通 
阻塞 消息 发 送 给 其 他 人 以 获取 更 好 的 交通 条 件 。 

e 经 授权 的 抢占 攻击 : 在 许多 地 方 可 以 控制 RSU 尤其 是 红绿灯 ， 为 紧急 车 
辆 如 救护 车 、 警 车 和 消防 车 辆 提供 特殊 交通 优先 。 在 一 些 虚 假 信息 攻击 中 ， 攻 击 
者 为 了 得 到 更 好 的 交通 条 件 ， 通 过 操纵 红绿灯 优先 权 系 统 ， 非 法 中 断交 通信 号 灯 
[9]. 




















e 消息 重 放 攻击 : 攻击 者 回放 之 前 发 送 的 有 效 消息 ， 扰 乱 交 通 秩序 。 

e 信息 修改 攻击 : 传送 的 消息 在 传输 期 间或 之 后 被 改变 。 为 了 逃避 与 交通 
相关 的 纠纷 ， 攻 击 者 可 能 希望 更 改 发 送 过 的 和 保存 在 设备 上 的 消息 的 来 源 或 与 位 
置 或 时 间 相 关 的 内 容 。 

e 模拟 攻击 : 攻击 者 可 能 会 假装 男 一 辆 车 甚至 RSU 来 思 弄 别人 。 

e RSU 复制 攻击 : 由 于 RSU 数量 很 多 ,使 RSU 完全 免 受 恶意 攻击 的 成 本 太 
高 ， 因 此 RSU 的 保护 常常 不 完备 。 攻 击 者 可 以 将 捕获 的 RSU 迁 至 其 他 地 方 发 起 
恶意 攻击 ， 如 发 送 虚 假 的 交通 信息 广播 。 

e 拒绝 服务 (DoS) 攻击 : 攻击 者 发 送 大 量 的 无 关 消 息 占 据 了 信道 ， 并 消 
耗 其 他 节点 的 计算 资源 。 这 样 的 攻击 包括 射频 干扰 或 堵塞 (jamming) 或 层 2 包 
泛 洪 [10], 

e 运动 跟踪 : 由 于 无 线 通 信和 是 基于 开放 共享 媒介 的 ， 因 此 攻击 者 可 以 容易 
地 窃听 传输 的 信息 。 在 某 些 地 区 攻击 者 拦截 大 量 的 信息 后 ， 简 单 地 通过 信息 分 析 
可 能 会 跟踪 车 辆 的 物理 位 置 和 移动 模式 。 

针对 无 线 通信 网 络 中 的 DoS 攻击 已 经 有 了 很 多 研究 [10 -14] ， 因 此 本 书 将 
主要 关注 安全 和 隐私 问题 。 


2.2.4 安全 需求 


为 了 应 对 和 缓解 上 节 描 述 的 安全 威胁 ， 一 个 成 熟 的 安全 协议 应 满足 以 下 
要 求 。 
1) 数据 来 源 的 验证 和 完整 性 : 不 管 消息 是 由 RSU 发 出 还 是 由 OBU 发 出 的 ， 
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在 传输 过 程 中 都 应 该 是 不 变 的 ， 而 且 可 以 由 接收 者 进行 验证 。 

2) 匿名 用 户 身份 验证 : 匿名 用 户 身份 验证 过 程 可 以 验证 用 户 是 真实 、 合 法 
的 但 并 不 显示 用 户 的 真实 身份 。 

3) 车 辆 匿名 : 当 发 送 方 提供 位 置信 息 时 应 支持 发 送 方 匿名 ， 即 车 辆 的 身份 
对 消息 接收 者 应 该 是 匿名 的 。 

4) RSU ID 暴露 : RSU 或 其 他 路 边 基础 设施 没有 隐私 问题 ， 相 反应 该 很 明显 
地 表示 它们 的 身份 ,包括 物理 位 置 和 它 可 以 提供 的 服务 。 

5) 预防 RSU 复制 : RSU 可 能 会 被 损害 和 /或 部 署 到 其 他 地 方 ， 攻 击 者 可 以 
通过 损害 或 者 迁移 RSU 来 发 动 各 种 攻击 ， 导 致 整个 VANET 的 中 断 。 因 此 必须 提 
共有 效 的 方法 拒绝 RSU 被 复制 ， 来 保持 VANET 的 安全 。 

6) 车 辆 标识 可 追溯 性 ， 当 有 争议 出 现时 ， 授 权 机 构 应 该 能 够 确定 消息 发 送 
者 的 真实 身份 。 

7) 效率 : 针对 每 辆 车 的 每 个 数据 包 的 通信 开销 和 处 理 延 迟 应 该 尽 可 能 小 。 


2.3 ”安全 和 保护 隐私 协议 









































ast 


2.3.1 面临 的 问题 


目前 每 辆 车 都 配备 了 可 靠 的 定位 装置 【如 全 球 定 位 系统 (GPS) ] ， 可 以 得 
到 精确 的 时 间 信息 。 为 了 了 解 最 高 安全 级 别 ， 本 节 假 设 了 一 个 非常 重要 的 场景 ， 
即 对 手 在 VANET 上 可 以 拦截 任何 他 们 想 知道 的 消息 。 此 外 ， 因 为 在 IVC 应 用 中 
se ta el al se a 
择 使 用 数字 签名 技术 签署 OBU 和 RSU 发 出 的 每 一 条 消息 。 因 此 每 个 接收 者 可 以 
验证 接收 到 的 消息 ， 确 保 消息 的 完整 性 、 真实 性 和 不 可 在 #5 认 性 。 安 全 设计 分 为 以 
下 两 类 : OMT OBU 之 间 的 安全 机 制 ; ORSU 和 OBU 之 间 安 全 机 制 。 由 于 不 同 
的 设计 需求 ， 下 面 讨 论 的 安全 解决 方案 可 以 分 属 上 面 的 两 种 情况 。 
2.3.1.1 OBU 之 间 的 通信 
对 于 普通 用 户 来 说 ， 他 们 希望 车 辆 是 匿名 的 ， 而 授权 机 构 却 希望 车 辆 是 可 追 
溯 的 ， 这 种 不 同 的 需求 成 为 OBU 之 间 通 信和 面临 的 主要 挑战 。 传 统 的 公 钥 加 密 方 
案由 于 公 钥 证 书 中 包括 身份 信息 ， 因 此 不 适合 安全 消息 签名 。 一 个 解决 方案 是 使 
用 一 个 匿名 消息 身份 验证 证 书 列表 ， 对 应 这 些 匿名 证 书 的 真实 拥有 者 身份 保存 在 
交通 管理 中 心 (TRC) 中 ， 用 来 跟踪 消息 发 送 者 的 真实 身份 。 该 方法 可 以 实现 有 
条 件 的 隐私 保护 ， 但 是 授权 机 构 需要 付出 巨大 的 努力 来 维护 和 管理 完整 的 证 书 列 
表 。 当 有 纠纷 出 现时 ， 跟 踪 寻 找 车 辆 的 真实 身份 也 将 是 一 个 耗 时 的 任务 。 因 此 本 
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章 提 出 了 一 个 利用 群 签名 方案 [4] 签署 车 辆 发 送 消息 的 安全 协议 。 和 群 签名 方案 
的 主要 特征 是 提供 了 签署 者 的 匿名 性 ， 验 证 者 可 以 判断 签名 者 属于 某 个 组 ， 但 是 
不 知道 谁 是 签名 者 ,但 是 在 特殊 的 情况 下 ， 证 书 颁发 机 构 作 为 组 的 管理 者 ， 可 以 
确定 签名 发 起 者 的 身份 。 因 此 ， 群 签名 技术 可 以 满足 匿名 性 和 可 跟踪 性 需求 ， 而 
不 用 将 所 有 的 证 书 存储 在 终端 设备 。 和 群 签名 技术 还 减少 了 公 钥 验证 和 证 书 路 径 验 
证 操作 的 工作 量 ， 并 且 可 以 满足 其 他 基本 安全 需求 ， 如 消息 完整 性 和 数据 源 
认证 。 

一 个 安全 的 群 签 名 必须 是 正确 的 、 匿 名 的 、 不 可 链接 的 、 在 某 些 情况 下 是 可 
跟踪 的 。 关 于 这 些 属性 的 详细 内 容 可 以 参考 文献 [15，16]。 除 了 上 面 提 到 的 属 
性 外 ， 在 IVC 应 用 程序 中 还 需要 如 下 功能 。 

e 角色 分 离 : 在 现实 世界 中 ， 组 管理 者 的 角色 可 以 分 为 会 员 管理 者 (MM) 
和 跟踪 管理 者 (TM) 。TRC 可 以 作为 MM 为 车 辆 分 配 私 钥 和 组 公 钥 ， 如 果 需 要 
的 话 授 权 机 构 可 以 作为 TM 显示 消息 发 送 者 真正 的 ID。 

。 组 成 员 撤 销 : IVC 系统 应 该 支持 通过 更 新 密 钥 或 释放 撤销 列表 (RL) 选 
择 性 地 撤销 受 损 车 辆 的 组 成 员 。 

e 高 效率 : 为 了 满足 IVC 系统 严格 的 通信 需求， 计算 成 本 和 签名 的 长 度 应 
该 尽量 小 。 

自 1991 FUR, 已 经 有 数 十 种 群 签名 方案 出 现 ， 但 是 一 些 群 签名 方案 在 安 
全 性 和 匿名 性 保证 上 还 有 问题 ， 例 如 许多 基于 身份 的 群 签名 方案 [15, 17 - 19] 
不 能 满足 不 可 链接 性 的 要 求 。 此 外 ， 还 有 一 些 方案 [15, 20] 证 明 是 可 伪造 的 
和 可 追踪 的 ， 另 外 大 部 分 的 群 签名 方案 涉及 很 长 和 不 可 撤销 的 签名 ， 并 且 组 管理 
者 的 角色 可 能 是 不 可 分 割 的 。 因 此 它们 无 法 满足 车 联网 的 应 用 场景 。 经 过 全 面 评 
估 后 ， 本 书 选 择 了 Boneh et al [21] 的 短 群 签名 方案 ， 该 方案 是 安全 的 ， 而 且 
被 认为 是 最 适合 IVC 应 用 程序 的 。 
2.3.1.2 RSU 和 OBU 之 间 的 通信 

在 RSU FI OBU 之 间 的 安全 需求 中 ， 对 RSU 来 说 ， 其 主要 特性 是 没有 隐私 要 
求 ， 因 此 每 个 RSU 的 标识 信息 可 以 作为 公共 密 钥 签署 RSU 发 出 的 消息 。 对 于 安 
装 在 紧急 车 辆 上 的 OBU， 它 的 车 牌号 码 可 以 作为 公共 密 钥 。 基 于 身份 的 签名 方 
案 可 以 显著 减少 证 书 管 理 的 工作 量 ， 并 且 可 以 在 很 大 程度 上 简化 公共 密 钥 的 更 新 
和 撤销 操作 。 在 所 有 已 知 的 基于 身份 的 签名 方案 中 ， 本 书 在 研究 中 采用 了 参考 文 
献 [22] 提出 的 基于 身份 的 可 证 明 安 全 的 签名 方案 ， 使 用 双 线 性 配对 作为 签名 
可 以 显著 降低 长 度 。 该 方案 只 需要 一 个 配对 计算 ， 对 验证 操作 的 复杂 性 而 言 也 是 
最 有 效 的 。 

为 了 便于 阅读 ， 本 章 使 用 的 安全 协议 符号 和 描述 在 表 2-1 中 列 出 。 
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表 2-1 安全 协议 符号 和 描述 









































符 号 Jh — 3 
TRC 交通 管理 中 心 
MM 会 员 管理 者 
TM 跟踪 管理 者 
epk= (gm, gm, Z, w) 组 公 钥 
gmsk,= (£i, £j) TM 的 私 钥 
gmsk, = y MM 的 私 钥 
gsk [i] 车 辆 i 的 私 钥 
y—z 从 集合 Z 中 随机 选择 的 数字 7y 
RL 撤销 列表 
Ig, Ig Ag, G ，G ' 和 G ;的 标识 单元 


2.3.2 系统 设置 


本 书 提 到 的 系统 有 三 种 类 型 的 网 络 实体 TM, MM 和 行驶 车 辆 中 安装 的 移 
动 OBU， 三 者 之 间 的 关系 如 图 2-1 所 示 。 在 车 辆 加 入 VANET 之 前 需要 在 MM 进 
行 注册 ， 并 且 预 加 载 公 共 系 统 参数 和 车 辆 自己 的 私 钥 。 当 车 辆 在 路 上 时 它们 会 经 
ata i 如 位 置 、 当 前 时 间 、 方 向 、 速 度 、 制 动 状 态 、 转 向 角 、 加 

速度 /减速 度 、 交 通 状况 和 交通 事件 ， 以 帮助 驾驶 人 得 到 一 个 更 完善 的 驾驶 环境 
的 信息 ， 并 且 可 以 针对 异常 情况 及 早 采 取 行 动 [23] 。 当 需要 得 到 车 辆 真实 身份 
时 ， 例 如 警察 需要 寻找 能 够 提供 事故 有 价值 的 信息 的 证 人 或 者 某 些 证 据 
过 名 的 交通 信息 ) 时 ，MM 可 以 向 TM 提交 公开 和 车辆 真实 身份 的 授权 申请 ， 然 
后 TM 从 会 员 数 据 库 中 寻找 车 辆 真实 的 身份 并 将 恢复 的 线索 和 证 据 转交 
给 MM。 

首先 ， 作 为 TM 的 权威 机 构 生 成 系统 所 需 的 双 线 性 组 ， 并 将 其 作为 系统 参数 
[6], ， 具 体 如 下 所 述 。 

G AIG ' 表 示 具 有 相同 素数 阶 p 的 发 生 器 g 和 g, 的 两 个 乘法 循环 组 。 炒 是 一 
WAG ' 到 G 的 可 计算 的 同 构 ， 其 中 abe.) =g1， 并 且 e 是 一 个 可 计算 的 映射 : 
e: G xG ' 一 Gy， 其 具有 以 下 属性 : 

e WARE. 对 于 所 有 的 we G,veG'fla,be Z, ; elut, v) = = e(u, Hy)? 


e 非 退化 : elg ,82 ) =g*lg o 
一 步 假设 (G, G') 有 SDH 属性，G 有 线性 Diffie -Hellman 属性 [24]. 


那么 TM BEDLBEREDI ATER h OG V [le l, ho - GV {1o} 和 两 个 随机 数 
&, 6 —- Z7, HABE u, v eG, Bu” = 08 =h, FHA, h e G', Hi 
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hy 2hP, hy = MP. Ba, TM 安全 地 保存 好 私 钥 gmsk, = (£, &), FEHR 


参数 (G, G', Gr, 81» §25 85 Pp; y, e, U, v, h, ho, hj; h) 发 送 到 作为 
MM 的 TRC 上 。 





= 
T 
恢复 的 线索 
和 -一 
o 
会 员 管 理 者 跟踪 管理 者 
(MM) (TM) 
$ | 
T 
s) | 公共 系统 参数 和 
Sp! esas Q | 签名 信息 
= | 
&| 
LY 
f SNS 交通 相关 的 消息 个 
/ DN 
\ / 
\ / 
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图 2-1 OBU 之 间 的 安全 通信 系统 

















Boa, TRC 随机 地 选择 y <z » 作为 MM 的 私 钥 gmsk,,, WE w =P 


=r 
pub 一 5 


作为 系统 参数 ， 并 且 选 择 两 个 安全 的 加 密 哈 希 功能 正 (0, 11 * OZ , Hy: 10, 


p 
1|* x G,Zj; 。 最 后 ，TRC 按照 下 列 方式 发 布 系统 参数 param 和 组 公 钥 gpk: 
G ,G',G T81 pun 
H,H, Padi „u,v, h, ho ,hi why 
gpk = (2) ,82,8,w) 
这 样 就 完成 了 安全 系统 的 初始 化 。 
2.3.3 OBU 之 间 的 安全 协议 


2.3.3.1 消息 格式 

表 2-2 定义 了 OBU 发 送 的 安全 信息 格式 ， 其 中 组 ID 用 来 标识 车 辆 属于 哪 一 
组 。 消 息 的 有 效 负载 可 以 包括 车 辆 的 位 置信 息 、 消 息 发 送 时 间 、 方 向 、 速 度 、 加 减 
速度 和 交通 事件 ， 其 长 度 是 100Byte [23] 。 时 间 戳 用 来 防止 消息 重 放 攻 击 。 倒 数 
第 二 个 字段 是 针对 消息 前 四 个 部 分 的 OBU 的 签名 。 最 后 一 个 字段 是 生存 时 间 





param = | 
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(TTL), ， 即 消息 被 允许 留 在 VANET 中 的 时 间 ， 可 以 防止 VANET 不 被 消息 淹没 。 
表 2-2 OBU 发 送 的 安全 信息 格式 











组 ID 消息 ID 负载 EST [E] ER 签名 TTL 





2 Byte 2 Byte 100Byte 4Byte 192Byte 1Byte 


2.3.3.2 OBU 通信 的 安全 协议 

为 了 支持 混合 的 成 员 撤 销 方 案 ， 本 小 节 针 对 短 群 签名 方案 [21] 进行 了 细 
化 ， 如 下 所 述 。 具 体 地 说 ， 该 安全 协议 包含 五 个 阶段 。 

1) 会 员 注 册 。 在 车 辆 注册 登记 过 程 中 ，MM 针对 每 个 车 辆 i (其 身份 为 
1D;) 生成 一 个 二 元 组 ( 4,,x; ) ， 车 辆 的 私 钥 gsk[ 让 如 下 所 示 : 

使 用 y，MM 首先 计算 





x; — H(y, ID) e Z7 
然后 设置 4; 一 0? e G。 完 成 会 员 注册 后 ，MM 在 它 的 记录 中 存储 
(AID ) 对 。 
注意 ， 因 为 x; 可 以 由 y 和 7D; 计算 而 来 ， 因 此 为 了 节省 存储 空间 ，MM 不 需 
要 存储 xi。 
2) 签名 。 给 定 消息 MM， 车 辆 i 在 发 送 消息 之 前 应 该 对 M 进行 签名 。 使 用 组 
公 钥 gpk 和 私 钥 对 (A;, x;)) ， 签 名 过 程 由 以 下 计算 组 成 : 
选择 指数 a, BM Zr. 
计算 4; 和 (T, D, TQ) 的 加 密 ， 其 中 
T, 一 二 7 一 472。 (2.1) 
计算 6, — x;a All 6, — xpo 
MAZ y "PEESLZEPEE ETE ru, rg. ru. Tao Tao HAR PAE R, Ro, R3, 
Ry; Res 

















R u" 

R, — v'? 

Ry — e(T, gp Yur elh w) Taa + e( hey) Ihm 

Ry Tp e u 

R; <— Tys + v 

使 用 上 面 的 值 和 MM 得 到 挑战 者 co 
c—H(M,T, ,T, ,Ts ,Ri,R ,R3,Ry,Rs) €Z 

计算 sas 358» Sx,» 38,» 38,5 其 中 


1 
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Sy = Ty * CQ 


sg 7 rg + cB 
S, =T, + CX; (2.2) 
55, = rg, + cô; 





$5, = Tg + cô, 
最 后 ,将 式 (2.1) 和 式 (2.2) 的 结果 进行 组 合 ， 生 成 消息 签名 cr。 
o< (Ti, T3, T3, €, Sa, SBs Sao 38,» 38,) 

按照 表 2-2 的 格式 组 成 消息 并 发 出 。 

3) 确认 。 当 接收 者 收 到 消息 后 ， 首 先 检 查 消 息 负载 中 的 时 间 信 息 是 否 在 人 允 
许 的 时 间 窗 内 。 如 果 是 ， 接 收 车 辆 将 执行 签名 确认 操作 ， 首 先 按照 下 面 的 公式 重 
新 构造 (RQQR,R,LR,LRS ) ， 并 重新 计算 挑战 者 C: 

R, ua/ TC 
R, — y'8/TS 
R, —e(T, gy) * e(h,w) ap. e(h,go) “17 + (e(T, w)/ e( 8, 585) )© 


R, — T's eu °’ 





R,— Ty v7 
SG, 从 c = HOM,T,,T,,T,,R, RR, R, R) 中 重新 计算 出 c。 
接收 者 最 后 检查 是 否 和 签名 中 的 c 相同 。 如 果 相 同 ， 则 接收 者 认为 消息 是 
从 可 信 的 组 成 员 发 出 的 有 效 的 、 没 有 修改 的 消息 ; 如 果 不 一 样 ， 接 收 者 将 忽略 该 
消息 。 

4) 成 员 的 可 追溯 性 。 当 需要 解决 争端 时 ， 系 统 执行 成 员 追 溯 操 作 ， 得 到 生成 
签名 成 员 的 真实 身份 。TM 首先 检查 签名 的 有 效 性 ， 然 后 通过 以 下 公式 计算 A;: 

A, c YARIS TR) 

—H MM 从 TM 得 到 元 素 4;， 就 可 以 通过 查找 记录 (A, ID;) 来 发 现 相 关 
的 身份 标识 ID, o 

5) 成 员 撤销 。 一 旦 发 现 车 辆 受 损 ， 就 需要 将 其 排除 在 系统 之 外 。 目 前 有 两 
种 方案 可 实现 受 损 车 辆 的 撤销 。 一 种 是 通过 更 新 所 有 不 被 撤销 的 车 辆 的 群 公 钥 和 
私 钥 实 现 。 如 果 在 撤销 列表 (RL) 中 发 布 撤销 车 辆 的 私 钥 对 ， 那 么 不 被 撤销 的 
车 辆 可 以 在 本 地 更 新 它们 的 私 钥 对 gsk [i] 和 组 公 钥 gpk， 而 撤销 车 辆 则 无 法 更 
新 它们 的 密 钥 介质 【21 ] 。 该 方案 需要 改变 每 辆 车 的 群 公 铀 和 私 钥 ， 因 此 会 明显 
地 引入 大 量 的 开销 。 其 他 撤销 机 制 类 似 于 传统 的 基于 CRL 的 撤销 方案 ， 称 为 本 
地 验证 撤销 (VLR) [25 -27] ， 该 方案 中 只 有 审核 员 参 与 撤销 的 检查 操作 。 由 
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于 VLR 方案 的 签名 验证 时 间 是 随 着 撤销 车 辆 数量 的 增长 而 线性 增长 的 ， 因 此 当 
撤销 车 辆 数量 少时 该 方案 是 很 有 效 的 。 但 是 当 RL 中 有 大 量 的 撤销 车 辆 时 ， 车 辆 
撤销 验证 过 程 非常 耗 时 ， 导 致 效率 低下 。 因 此 ， 本 书 在 权衡 之 下 提出 了 混合 成 员 
撤销 机 制 ， 其 基本 思想 是 当 撤销 车 辆 的 数量 在 撤销 列表 中 (用 | REA 表示 ) 小 
FHERR T, 时 使 用 VLR 机 制 ， 否 则 使 用 第 一 种 方案 即 通 过 更 新 相应 的 公 
钥 和 私 钥 对 来 实现 撤销 。 具 体 的 机 制 如 下 所 示 。 
算法 1: 撤销 确认 算法 
数据 : 输入 (param, RL, o) 
结果 : 输出 有 效 或 者 无 效 
for i — 1 to | RL| do 
从 RL 中 取得 一 个 4i 
WIE ê (T3/Aj, ho) = 8 (Ty, hy) ê (Ta, h) 那么 
| ”返回 “无效 
结束 
结束 


返回 ”有效 








Algorithm 1: Revocation Verification Algorithm 
Data: Input (param, RL, o) 
Result: Output valid or invalid 
for i — 1 to |RL| do 

get one A; from RL 

if 6(T,/A;, hy) = &(T,, hj )e(T,, hy) then 

| return invalid 

end 
end 
return valid 


“情况 1: MI RLI <T, 时 ，MM 发 布 撤销 列表 RL = |41,…, ALL, HOD <T,, 
对 于 给 定 的 群 签名  ， 确 认 者 首先 执行 签名 确认 操作 ， 然 后 按照 算法 1 执行 
撤销 检查 ， 其 中 param #2 (G, G', Gr, gi, &, Z, p, V, e, H, Hi, Pays 
u, v, h, họ, hy, h;), WRR MHIE AE Valid, RL 中 没有 元 素 在 o 的 (T, 
T,, T;) 中 存在 ， 群 签名 o 的 签名 者 没有 被 撤销 。 如 果 返 回 的 值 是 invaild， 那 
么 已 有 的 4, 被 编码 进 (T, To, T3), el T,/A;, ho) =e(T,, hy )e(T, hy) 
检查 ， 因 为 

















e( T3/A, ho) 
= e(A;h* 8/4, ho) 
= e(h**B hy) = e(h* ,ho) e(hP ho) 
= e(u%! ho) ev ho) 


= e(u®,h§!) e(vP his) 
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= e(T, hy) e( T, hy) 

情况 2: “41 RLI zT, 时 ，MM 将 所 有 的 签名 者 和 确认 者 发 送 到 系统 撤销 列 
R RL= | (Ay ,wi),…, (Asm) |, HP bm T,, MRT, (AP , x), 
x; —H(y, ID) e Z; WA? — gy0 e G'。 其 中 需要 注意 4 sy )。 

在 收 到 撤销 列表 RL, HAH gpk 可 以 容易 地 进行 更 新 。 下 面 的 辅助 定理 证 
明了 如 何 使 用 给 定 的 组 公 钥 和 所 有 的 撤销 私 钥 来 构建 新 的 组 公 钥 。 

辅助 定理 1: 给 定 组 密 钥 gpk = (gi, g2, g, w) 和 所 有 的 撤销 私 钥 | (4Y， 
xi) ss (AË yx) | eRL， 新 的 组 公 钥 可 以 按照 下 面 的 方式 构建 。 


EPknew = (n, £5. Z, w) 
Jtr g, =g”, £ =g”, g = elgi, £), w = gl. y= M o +x) € Zy 
证 明 : 
* 因为 8, =e” 可 以 从 (AY omues (At som) 得 到 ， 首 先 构建 下 列 方程 


a = Ma )n 
= (A; )^ + (A7 ) ?--- (Ap )% 
一 | gi m s gir Om wg (0) 
b 
= g> ip orm (2.3) 


Hop b AR AME yi, Ya» "Us Ybo 
bcd i 











d <y Yi 
i i=l y + x; 
Yi Yb 
Susp 
y tx y tx, 


然后 ， 可 以 得 到 下 式 : 








1 = 9 yi d edi Yb } 
y tx, y +X, 


=I eap [Rura 


Y tX y tX, 
b b 
= [Lu 30 nt TT ov te) om 
b 
tet TT v*320*» (2.4) 


不 失 一 般 性 地 ,假设 b=2， 可 以 得 出 . 
L = yj, (y+) +y (y +%) 
= (Yi + ¥2)¥ + yaxo + yon (2.3) 
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然后 ， 可 以 得 出 下 面 两 个 方程 : 
yi +y =0 
yiX +y% = 1 


解 方程 (2.6) ， 可 以 得 到 : 








H = 





Jo. = 


将 式 (2.7) RAR (2.3), 得 出 : 
2 zs (Af ye CAT )2 
= gl/ LU 15062720] e gy LO m 1m) 


=g} LO tre] 
& = 未 (8 ) = g T 00r) 


和 
g -e(g ,22 ) 
«ON THA w =g = 0), WET PTR: 


b 
/y f * fa 
ay? =e auo 
i=1 


= p - (As) (Ap )% 
Yo . QAO v) sgy O 


= 82 '£2 


[ 
= g X Ort x) 


Hp, b+1 KAMEN yo, Yis Vox `s Ybo 
提高 式 (2.8) 到 指数 方程 : 











那么 可 以 得 到 : 
yı Yb 
YY ot tem 
IL (y +x;) 。 (y + Yı af 4 Yb | 
izl ' : y tX y tx, 


b b 
II, +x) * Yo + II, +a) 











(2.6) 


(2:3) 


(2.8) 
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e TD Uv ta) 
同样 的 ， 假设 b=2， 那 么 可 以 得 到 . 
y = yo(Y * x) Cy * x3) 
ty(ytxm)tynxO tnu) 
= Yoy + (yo(m +42) € yi y 
+ yoX1X2 + yiX5 + Yz% 
可 以 得 到 下 面 三 个 方程 : 
yo =0 
yoCx, +x) +y +y, =1 (2.9) 
Yo%X + YX * yox, =O 


解 方程 (2.9), 48; 





yo =0 
| 

"ed (2. 10) 
X? 

"o edm 


将 式 (2. 10) RA w =g, BS: 
R A Ji 
w= 3 = gy” 
= g» . (Aj yn . (Aj )? 
= (Af yt de) " (AP joa Guo) 
= gi LO m) i9) ] ga Les) Ga 7x] 


= gi Lomo] 


作为 结果 ， 组 公 钥 可 以 按照 gpk = (g,, 8, g, w) 构建 。 

下 面 将 描述 没有 被 撤销 的 车 辆 如 何 更 新 它 的 私 钥 [4 = 2 (7, xo], BY 
私 钥 用 (A, x) 表示 , HPA=A%eC,. 

辅助 定理 2: SRE TA | (AS, x), ocn. (As, x) Le RL, RA 
被 撤销 的 车 辆 i=0 的 新 私 钥 可 以 构建 为 (Â, xo), HEP xo =H(y, IDo) eZ, 
A=A%eG,y = IIL (> +%i) EZ). 

证 明 : 

* 因为 4=40 可 以 从 (A, xo) 和 (AF, x), on, (AS, x) 得 到 ， 首 先 
构建 方程 ; 


b 
AV» = A». II až)” 
i=l 
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= AM + (CAS) (WAS) 


— gXo/(Y*x9) 。wyIMCY+X1) Ly CY +X) 
= gi? 0 gj 1 gy" b 


= guiar (2. 11) 
其 中 ， b+1 RAEN yo, yis Yia "Us YE 将 式 (2. 11) 提高 到 指数 方程 : 


1 5 Y Yi 

















yy + xo) i=0 y 十 Xi 
Yo J1 Yb 
= + +e 十 
Yt% Yr y tX, 
那么 可 以 得 到 ; 
1 = y(y + xo) og teni x | 


+ Xo y +X, 


II, idis (—— TR -全 -| 


y + Xo y +X, 
b b 
= II; VOLU Yo 十 Morat +a) y 
b 
+--+ JI (y +a) * ys 


i=0,i#b 
不 失 一 般 性 ,假设 8=2， 因 此 可 以 得 到 . 
1 = yoly +x) (Y € 35) + YY + xD) CY x2) 
+ ¥o(y + xo) (Y t) 
= (yo ty +y2) Y + Lyon +x) 
+91 (% + 95) + ys (xo + x) IY 
+ yoXiXo + YI1X0X2 + yY2X0XI1 
通过 上 面 的 方程 可 以 得 出 下 列 三 个 方程 : 
Yo +y1 * y; =0 
Yo (x1 x2) +Yı (xo +%2) +yz (Xo +x) =O (2. 12) 
Voxx + yiXoX5 十 y2X0X1 =1 


解 方程 (2. 12) 可 以 得 到 ; 




















Hu 1 

Ter (xi = xo) (x5 — xo) 
B 1 

1 us 7) (23 = SE) 
uH 1 

fi (xo -x,)(u -x,) 


将 式 (2.13) RAR (2.11), 得到: 
A =A'” 
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=A + (WAF)) * QI? )) 


= gl LO +40) (x1 7 x9) (x2 7 9) ] 
81 
. gil rtm) 60907 9)02 730] 


s g1 ECY +22) te) (21 -42)] 


= gl/LO t) (y +1) (y e] 

FÆ, (A, x) 是 对 应 于 组 公 钥 eph (81, 83, £, w) 的 有 效 的 私 钥 。 
2.3.3.3 消息 长 度 

OBU 消息 的 长 度 为 

L msg OBU = LgroupiD + LmsgiD + Lpayload 
+ Liimestamp + Lsig + Lore. 

p 是 170bit 的 素数 [6], G 的 每 个 元 素 是 171bit K, Ly 
Lwsg ogu =2 +2 +100 +4 +192 +1 =301 Byte, 
2.3.3.4 安全 分 析 

使 用 群 签 名 允许 组 成 员 代 表 组 匿名 地 签署 任意 数量 的 消息 。 组 签名 方案 的 安 
全 需求 包括 正确 性 、 不 可 伪造 性 、 匿 名 性 、 不 可 链接 性 、 可 追溯 性 和 撤销 
[16], 具体 讨 论 如 下 。 

e 正确 性 : 根据 安全 协议 由 有 效 的 组 成 员 生 成 的 组 签名 o 可 以 通过 上 面 的 
验证 过 程 来 标识 。 

e 不 可 伪造 性 : 只 有 有 效 的 组 成 员 可 以 代表 组 签署 消息 ， 有 效 的 组 签名 不 
能 被 伪造 ， 否 则 强烈 Diffie - Hellman (SDH) 假设 将 不 一 致 。 

e 匿名 性 : 消息 的 有 效 的 组 签名 ao， 除了 组 管理 者 ， 很 难 通 过 计算 识别 真 
正 的 签名 者 。 根 据 线性 Diffie - Hellman 假设 ， 组 签名 方案 为 基础 的 交互 协议 是 零 
知识 的 ，o 没有 显示 任何 信息 。 

e 不 可 链接 性 : 根据 确认 程序 ， 很 难 判断 出 两 个 不 同 的 有 效 组 签名 是 相同 
的 组 成 员 计算 的 。 

。 可 追溯 性 : 组 管理 者 可 以 通过 成 员 恢 复 过 程 来 创建 一 个 有 效 的 签名 和 识 
别 真正 的 签名 者 。 假 设 群 签名 m = (Ti, Tr, T4, c, Sas 5p. Sro Sao 95) 是 
有 效 的 。 组 管理 者 可 以 首先 推导 4 一 7A(7 - TP), ， 可 以 追溯 签名 者 的 标识 。 

e 可 撤销 性 : 可 以 通过 上 述 两 个 撤销 方案 实现 成 员 撤销 。 

在 [21] 中 ，Boheh 等 更 详细 地 描述 了 安全 分 析 。 


2.3.4 RSU 和 OBU 之 间 的 安全 协议 


2.3.4.1 消息 格式 
表 2-3 定义 了 RSU M OBU 之 间 的 消息 格式 。 





是 192Byte 长 ， 因 此 
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表 2-3 RBU 消息 格式 








类 型 ID 消息 ID 负载 时 间 戳 签名 ID TTL 





2Byte 2Byte 100Byte 4Byte 43Byte 40Byte 1Byte 


前 四 个 字段 由 RSU 签署 ， 可 以 派生 出 “签名 ”字段 。“ID”40Byte 长 ， 可 
以 作为 发 送 方 的 公 钥 。 注 意 ID 可 能 还 包括 RSU 的 名 称 、 授 权 经 营 的 地 理 区 域 和 
授权 的 消息 类 型 。 如 前 所 述 ， 安 装 在 紧急 车 辆 上 的 OBU 和 RSU 相同 处 理 ， 因 此 
ID 也 可 以 是 紧急 车 辆 车 牌号 码 、 紧 急 车 辆 的 类 型 [例如 和 警车、 消防 车 或 紧急 医 
疗 服 务 (EMS) | 和 提供 紧急 服务 的 辖区 名 称 。 最 后 一 个 字段 是 TIL， 可 以 控制 
消息 允许 留 在 VANET 中 的 时 间 ， 可 以 避免 VANET 被 消息 淹没 。 不 失 一 般 性 ， 
本 章 使 用 RSU 作为 例子 来 说 明 安 全 协议 。 签 名 的 长 度 将 在 稍 后 讨论 。 
2.3.4.2 RSU -OBU 通信 的 安全 协议 

RSU 和 OBU 之 间 的 安全 协议 包含 以 下 三 个 阶段 。 

1) 生成 私 钥 。 按 照 RSU 的 属性 ， 每 个 RSU 均 有 一 个 唯一 的 标识 符 字 符 串 
作为 其 站， 格式 如 表 2-4 所 示 ， 第 一 个 字段 记录 了 唯一 的 序列 号 ， 第 二 个 字段 
记录 了 其 物理 位 置信 息 ， 第 三 个 字段 表示 消息 的 属性 ， 例 如 交通 信号 相关 的 消息 
和 和 警告 消息 。TRC 为 每 个 RSU 计算 私 钥 

Sip —gl/ +H) 
并 通过 安全 通道 发 给 每 个 RSU。 
表 2-4 RSU 标识 的 格式 























2) 签名 。 在 发 送 每 个 安全 消息 M 之 前 ，RSU 对 消息 M 进行 签名 ， 首 先 获 
RGD x AZ 并且 计算 rece" eG ro 
通过 r+， 可 以 设置 





hoH, (M, r eZ; 
并 计算 
So Sip E Gio 
签名 o EWER ho, So) sZ，xG 对 。 最 后 按照 表 2-3 的 格式 构造 消息 并 
由 RSU 发 出 。 
3) 验证 。 任 何 车 辆 从 RSU 接收 消息 后 首先 保证 发 送 方 在 授权 域 工作 。 车 辆 
将 消息 发 送 者 的 物理 位 置 与 RSU 标识 符 字 符 串 中 的 位 置信 息 进行 比较 ， 防 止 攻 
击 者 将 RSU 中 设备 取出 并 放 在 别处 。 然 后 ， 接 收 方 将 收 到 的 消息 的 类 型 ID 与 标 
识 符 字符 串 中 的 属性 声明 进行 比较 ， 如 果 类 型 ID 不 匹配 ， 则 该 消息 将 被 忽略 。 
例如 带 有 曲线 速度 警告 属性 的 消息 在 消息 内 容 是 “在 建 道路 ”的 情况 下 是 不 会 
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被 接受 的 ， 接 收 方 还 应 检查 载荷 的 时 间 信息 ， 确 保 信息 是 在 允许 的 时 间 窗 口 发 出 
的 。 最 后 ， 接 收 方 通过 下 面 的 计算 检查 签名 信息 的 有 效 性 。 


h H; (M,e(S, ene Pe) 


这 个 检查 是 看 是 否 hah, HPE h, 从 e 得 来 的 。 如 果 方 程 成 立 ， 车 辆 
接收 消息 ， 否 则 该 消息 被 丢掉 。 
2.3.4.3 消息 长 度 

RSU 的 消息 长 度 为 

Lose RSU = LiypeID + LmsgiD + Loayload + 
Liimestamp + Lsig + Lip + Lrrr 

类 似 的 ， 因 为 p 是 170bit 长 的 素数 ， 并 且 在 G | 的 每 个 元 素 是 171bit， 因 此 签 
4 c 的 大 小 是 43Byte。 所 以 ，Lise rsu =2 +2 +100 +4 +43 +40 +1 =192Byte。 
2.3.4.4 安全 分 析 

本 方案 使 用 基于 身份 的 可 证 明 安 全 的 签名 [22], ， 通 过 保证 不 可 伪造 性 
证 、 数 据 完 整 性 和 不 可 否认 性 来 允许 RSU 签署 任意 数量 的 消息 。Barreto [22] 
给 出 了 更 全 面 的 安全 分 析 。 本 节 分 析 了 本 书 提 出 的 协议 ， 特 别 是 针对 RSU 复制 
攻击 预防 和 重 放 攻 击 预防 的 方向 ， 具 体 见 下 。 

e RSU 复制 攻击 的 预防 : 从 RSU 发 出 的 消息 中 的 “ID” 字 段 是 RSU 最 初 
的 物理 位 置信 息 ， 类 型 字段 指示 RSU 提供 的 交通 管理 的 类 型 。 当 OBU 接 到 消 
A, 将 OBU 的 物理 位 置 与 RSU ID 字符 串 中 的 位 置信 息 进 行 比较 ， 如 果 距 离 超出 
了 RSU 的 传播 范围 ， 那 么 0BU 将 忽略 该 消息 ， 因 此 可 以 防御 RSU 复制 攻击 。 此 
yh, OBU 将 收 到 的 消息 类 型 ID 和 RSU 类 型 ID 字符 串 的 内 容 进 行 比 较 ， 如 果 类 
型 ID 不 匹配 ,该 消息 将 被 忽略 ， 例 如 消息 中 的 曲线 速度 警告 属性 在 “在 建 道 
路 ”的 情况 下 是 不 会 接受 的 。 

e 重 放 攻 击 的 防止 : 重 放 攻 击 是 指 攻击 者 为 了 伪装 成 合法 的 RSU 回放 从 
RSU 截获 的 消息 ， 由 于 协议 在 检查 确认 过 程 中 要 检查 时 间 间 隔 ， 因 此 不 会 出 现 
这 种 攻击 。OBU 收 到 消息 后 检查 时 间 惟 的 时 间 人 信息， 以 确保 消息 在 允许 的 时 间 
窗口 内 。 如 果 包 含 在 消息 时 间 蕉 中 的 时 间 信 息 不 合理 的 ， 则 OBU 将 丢弃 该 消息 。 


2.4 ”性 能 评估 


本 节 使 用 ns -2 网 络 仿真 工具 [28]. 构建 的 仿真 系统 对 IVC 应 用 进行 仿真 
评 佑 ， 以 验证 安全 协议 的 效率 。 为 了 正确 地 评估 实际 道路 环境 和 车 辆 流量 ， 考 虑 
了 两 个 不 同 的 道路 系统 。2004 年 ，ns -2 引入 了 第 一 个 由 移动 模型 生成 工具 生成 
的 现实 世界 的 环境 [29] ， 该 环境 是 专门 为 车 辆 生成 的 实际 的 城市 交通 场景 。 这 
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个 工具 使 用 公开 可 用 的 来 自 美 国人 口 普查 局 的 TIGER (拓扑 集成 地 理 编码 和 引 


H) 数据 库 ， 该 数据 库 详细 





























的 地 图 是 一 个 真实 的 德 殉 陕 
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也 记录 了 美国 每 个 城市 /城镇 的 街道 地 图 。 本 章 采 用 





折 州 休斯敦 的 Afton 橡树 区 的 城市 交通 环境 ， 如 图 
2-2 所 示 。 每 辆 车 首先 随机 分 散在 道路 的 十 字 路 口 ， 并 且 不 断 沿 着 地 图 上 的 路 径 
向 另 一 个 随机 选择 的 十 字 路 口 移动 。 每 辆 车 在 不 同 的 街道 上 以 从 35 ~ 75mile/h 
(1mile/h 21. 6km/h) 的 限 速 范围 内 以 + 5mile/h 的 随机 速度 移动 。 本 节 考 虑 的 
第 二 种 道路 系统 类 型 是 高 速 公 路 上 双向 六 车 道 的 直道 的 流量 场景 ， 其 车 辆 的 速度 














是 在 (100 +10) mile/h 范围 内 。 在 这 两 种 情况 下 ， 在 每 个 道路 上 每 隔 500m 部 
署 一 个 RSU， 每 隔 300ms 发 送 消息 。 其 他 仿真 参数 在 表 2-5 中 体现 。 





















































街道 
图 2-2 1000m x 1000m 范围 内 城市 街道 场景 
表 2-5 仿真 配置 
仿真 场景 城市 环境 
城市 仿真 区 域 1000m x 1000m 

通信 范围 300m 
仿真 时 间 100s 
信道 带宽 6Mbit/s 
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(E) 
仿真 场景 城市 环境 
暂停 时 间 0s 
OBU 消息 包 大 小 301Byte 
RSU 消息 包 大 小 200Byte 
公路 仿真 区 域 2500m x 30m 





考虑 的 性 能 指标 是 平均 消息 延迟 和 平均 消息 丢失 率 ， 指 示 为 avgD ysg 和 
avgLR， 分 别 表 示 如 下 : 





avgD y, ü 


1 Ment n Ka 
~ Np- M, a 


sent n ° NnneDm=1 k=l 

QU Sq ae t Taag © (Ls mk +1)) 
式 中 , 刀 是 模拟 的 样本 地 区 ; Ny 是 在 D 地 区 内 的 汽车 数量 ，M,,, ,是 由 车 辆 n 
发 送 的 消息 数量 ，K, 是 在 车 辆 n 的 一 跳 通信 范围 内 的 车 辆 数量 ，7%" 是 由 车 辆 m 
签署 消息 m 的 时 间 ; nom k RREH n 发送 的 并 且 由 车 辆 收 到 的 消息 m; 
L, ;是 当 收 到 车 辆 发 送 的 消息 m 时 车 辆 的 队列 长 度 n。 因 此 ， 


Np 
avgLR = : * d 
Nona > eae 
IP, OM? sumed R7 TE EHI E FA ER n AST Es MP neg BEAD TE MAC 层 车 
辆 nn 收 到 的 消息 数量 。 在 这 里 只 考虑 由 安全 协议 引起 的 消息 丢失 ， 不 考虑 无 线 传 输 
言 道 导致 的 丢 包 。 注 意 ， 当 消息 到 达 速 率 大 于 消息 确认 速率 时 导致 队列 满 了 时 会 导 
致 消息 丢失 。 在 下 面 两 组 实验 由 在 分 析 不 同 的 流量 负荷 和 加 密 算 法 处 理 速度 的 影响 。 


2.4.1 流量 负荷 的 影响 


道路 上 的 车 辆 密度 与 每 辆 车 接收 到 的 消息 总 数 相 关 ， 因 此 车 辆 密度 是 影响 系 
统 性 能 的 主要 因素 。 先 前 的 研究 考虑 了 道路 上 的 实际 车 辆 密度 如 车 辆 /km 或 者 车 
辆 /km? 带 来 的 影响 ,但 是 没有 考虑 通信 范围 和 实际 车 辆 密度 之 间 的 关系 。Raya 
和 Hubaux [23] 发 现 ， 为 了 达到 满意 的 丢 包 率 ， 应 采用 更 密集 的 流量 和 更 短 的 
通信 范围 (或 更 小 的 辐射 功率 )。 因 此 特定 车 辆 在 传播 周期 内 接收 到 的 消息 数量 
应 该 是 评估 系统 性 能 的 一 个 因素 ， 而 不 是 只 考虑 实际 交通 密度 。 因 此 本 研究 将 每 
辆 车 在 通信 范围 内 邻近 车 辆 的 平均 数量 作为 交通 负荷 ， 这 是 传播 周期 内 一 辆 车 可 
以 接收 到 的 数据 包 数 量 的 上 限 。 此 外 ,在 ns -2 仿真 中 使 用 的 任何 密码 操作 引起 
的 延迟 可 以 从 密码 库 MIRACL [30] 中 得 到 。 在 这 项 研究 中 群 签名 签署 延迟 和 验 
证 延迟 分 别 是 3. 6ms 和 7.2ms， 基 于 身份 的 签名 验证 的 延迟 是 3. 6ms。 

图 2-3 和 图 2-4 为 仿真 结果 ， 从 结果 上 可 以 看 出 ， 随 着 流量 负载 ( 即 在 通信 
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范围 内 汽车 的 数量 ) 的 增加 ， 消 息 的 端 到 端 延 迟 变 化 不 大 ( 约 22ms) ， 该 值 小 
T Ref. 23 定义 的 最 大 人 允许 的 消息 端 到 端 传输 延迟 100ms。 但 是 当 交 通 负 载 增 加 
时 信息 损失 比率 增加 ， 值 得 注意 的 是 当 交 通 负载 到 150 时 ， 损 失 上 比率 高 达 68% , 
然而 这 样 的 交通 负荷 根据 通信 范围 和 车 辆 间 的 关系 距离 [23] 表示 路 上 正经 历 
着 严重 的 交通 拥堵 ， 在 这 种 情况 下 如 果 大 量 的 消息 丢失 是 因为 每 辆 车 重复 发 送 大 
多 数 的 消息 ， 那 么 它 是 可 以 接受 的 。 正 常 的 交通 负荷 发 生 在 交通 负 答 低 于 50 时 















































损失 比率 达到 20% 。 
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图 2-3 流量 负荷 对 消息 端 到 端 延 迟 的 影响 
2.4.2 加 密 签名 验证 延迟 的 影响 


决定 安全 协议 的 性 能 的 另 一 个 重要 因素 是 协议 中 使 用 密码 操作 带 来 的 延迟 。 
然而 实现 密码 算法 的 速度 很 大 程度 上 取决 于 所 采用 的 硬件 设施 。 本 人 研究 假设 在 每 
辆 车 安装 一 个 强大 的 处 理 器 ， 可 以 达到 一 个 很 高 的 处 理 速度 。 通 过 引用 Ref. 22 
给 定 的 参数 ， 一 个 配对 操作 需要 3. 6ms， 在 MIRACL 库 中 需要 8. Sms， 这 是 一 个 
合理 的 假设 ， 签 名 验证 延迟 范围 为 1 ~ 8. 5ms， 在 仿真 中 假设 城市 中 的 正常 的 交 
通 负 载 在 车 辆 的 通信 范围 内 有 平均 60 辆 车 ,仿真 结果 如 图 2-5 和 图 2-6 所 示 。 

可 以 看 出 ， 随 着 密码 操作 花费 时 间 的 增加 ， 消 息 端 到 端 延迟 和 损失 比率 会 增 
加 。 当 签名 验证 延迟 达到 一 定 值 时 消息 的 损失 比率 明显 增加 。 此 外 ， 在 各 种 道路 
情况 下 系统 性 能 非常 接近 ， 这 表示 本 研究 提出 的 安全 协议 在 不 同 的 道路 系统 和 交 
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图 2-5 签名 验证 延迟 对 消息 端 到 端 延 迟 的 影响 
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图 2-6 ”签名 验证 延迟 对 消息 丢失 率 的 影响 
通 负荷 下 具有 稳定 性 和 不 敏感 性 。 
2.4.3 成 员 撤销 和 跟踪 效率 


下 面 将 评估 本 章 提 出 的 协议 中 成 员 撤 销 和 跟踪 方案 的 效率 ， 并 与 Ref 31 中 
的 方案 进行 效率 比较 。 会 员 撤 销 和 跟踪 方案 的 效率 是 任何 车 辆 应 用 程序 中 一 个 关 
键 的 需求 ， 因 为 如 果 像 在 日 常生 活 中 人 们 经 常 遇 到 的 恶意 用 户 进行 任何 危险 活动 
或 者 一 个 攻击 者 冒充 盗用 合法 的 小 组 成 员 ， 那 么 用 户 将 面临 一 个 严重 的 风险 。 
此 ，VANET 需要 尽 可 能 地 提高 成 员 撤销 和 跟踪 方案 的 性 能 。 

当 一 辆 汽车 被 破坏 时 其 证 书 需 要 撤销 以 消除 潜在 的 安全 隐患 。 在 Raya - Hu- 
baux 的 研究 [31] 中 43800 匿名 证 书 必须 放 在 CRL 中 ,其 CRL 的 存储 是 
43800kB 。 本 书 提 出 的 会 员 撤销 方案 只 有 A; 需要 放 在 CRL Y, Ep i PORTER io 
CRL 的 存储 只 需要 171bit， 大 大 地 减少 了 CRL 的 大 小 ，CRL 中 撤销 的 车 辆 越 多 ， 
本 书 提出 的 会 员 撤 销 方 案 越 可 以 节省 更 多 的 存储 ， 这 是 非常 重要 的 ， 当 执行 成 员 
撤销 验证 时 为 了 避免 联系 中 心 的 CRL, CRL 可 以 分 发 给 OBU 和 RSU, 

此 外 在 争议 的 情况 下 如 犯罪 或 事故 现场 调查 需要 寻找 目击 者 时 ， 执 法 者 应 该 
能 够 跟踪 消息 发 送 方 得 到 消息 发 送 者 的 身份 。 在 Raya - Hubaux 研究 [31] 中 ， 
管理 者 保存 了 管辖 地 区 内 每 个 车 辆 的 所 有 匿名 证 书 ， 其 结果 是 需要 存储 达到 
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43800kB -n 的 巨大 的 数据 库 ， 其 中 是 车 辆 总 数 (可 能 是 数 以 百 万 计 的 汽车 ) , 
而 本 书 提出 的 成 员 跟踪 方案 需要 为 每 辆 车 维护 一 个 包含 A; 及 其 相应 的 车 辆 真实 
身份 的 表格 ， 如 果 车 辆 的 标识 是 136bit (车辆 的 VIN 是 17 个 字符 的 号 码 包 含 字 
母 和 数字 字符 ) ， 那 么 该 表格 只 需要 307bit。 因 此 该 方案 的 存储 需要 307bits . n, 
可 以 显著 地 节约 存储 。 

















2.5 tit 


本 章 提出 了 一 种 新 的 用 于 车 辆 间 通 信 (IVC) 应 用 的 基于 群 签名 和 基于 身份 
的 签名 方案 的 安全 协议 。 对 成 员 管 理 者 (MM) 和 追溯 管理 者 (TM) 则 不 需要 
引入 管理 大 量 的 存储 证 书 的 开销 实现 组 签名 、 安 全 、 隐 私 和 有 效 可 追溯 性 。 基 于 
身份 的 签名 可 以 进一步 降低 公共 密 钥 和 证 书 管理 的 复杂 性 。 我 们 搭建 了 城市 道路 
和 高 速 公 路 系统 的 仿真 系统 证 明了 即使 由 于 密码 操作 导致 大 量 计算 延迟 时 消息 延 
迟 和 损失 比率 还 可 以 保持 很 低 。 
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3.1 概述 


不 断 增长 的 道路 安全 改善 和 交通 优化 的 需求 刺激 了 车 辆 ad hoc 网 络 (VA- 
NET) [1] 的 研究 ， 作 为 移动 ad hoc 网 络 (MANET) 的 一 种 特殊 实例 ，VANET 
已 经 定位 为 未 来 为 以 车 辆 为 中 心 的 应 用 提供 通用 平台 ， 应 用 通过 该 平台 在 本 地 进 
行 数据 收集 和 生成 ， 并 通过 点 对 点 或 者 点 对 多 点 进行 信息 分 发 。VANET 包括 车 
载 单元 (OBU) 和 路 边 单元 (RSU) [2]， 其 中 OBU 安装 在 车 辆 上 提供 无 线 通 
信和 功能 ，RSU 在 无 线 覆 盖 范 围 内 为 车 辆 提供 无 线 接 口 。 

目前 工业 界 和 学 术 界 已 经 针对 车 载 网 络 中 的 关键 问题 [3 -7] 开展 了 广泛 
的 研究 ， 其 中 安全 保证 和 隐私 保护 是 其 中 的 两 个 主要 问题 [8 - 11] 。 没 有 安全 
和 隐私 保护 ， 攻 击 者 可 以 跟踪 感 兴趣 的 OBU 位 置 并 获得 他 们 的 移动 模式 ， 严 重 
的 攻击 可 能 会 抵消 改善 行车 安全 带 来 的 好 处 ， 因 此 ， 在 安全 的 车 载 网 络 中 提供 匿 
名 消息 身份 验证 安全 已 成 为 一 个 基本 的 设计 要 求 ， 然 而 在 车 载 网 络 中 匿名 消息 身 
份 验证 是 一 把 双 刃 侠 ， 一 个 合法 的 OBU 根据 隐私 保护 机 制 愿意 为 周围 的 OBU 和 
RSU 提供 尽 可 能 多 的 本 地 信息 来 创建 一 个 更 安全 、 更 高 效 的 驾驶 环境 ,但 是 恶 
意 的 OBU 可 能 会 滥用 隐私 保护 机 制 破坏 正常 的 驾驶 环境 ， 当 处 于 争端 中 的 驾驶 
人 试图 逃避 调查 和 责任 时 常常 会 出 现 这 种 情况 。 因 此 在 车 载 网 络 中 匿名 消息 身份 
验证 应 该 是 有 条 件 的 ， 即 使 OBU 不 是 公众 可 追踪 的 ， 也 应 保证 授权 机 构 可 以 找 
到 一 种 跟踪 目标 OBU 的 方法 并 收集 传播 的 安全 信息 。 

针对 安全 的 车 载 网 络 ， 大 部 分 现 有 安全 方案 [12, 13] 只 是 简单 地 进行 了 
身份 验证 和 隐私 保护 ， 但 是 缺少 一 个 有 效 和 高 效 的 条 件 跟踪 机 制 。 目 前 针对 有 条 
件 隐 私 保 护 的 设计 方案 有 两 种 : 基于 大 量 的 匿名 密 钥 方 案 (HAB) [1] 和 纯粹 
的 群 签 名 技术 方案 (GSB) [14]， 尽 管 HAB 和 GSB 都 可 以 提供 一 个 有 效 的 跟踪 
机 制 ， 但 是 他 们 需要 一 个 巨大 的 存储 空间 存储 匿名 密 钥 ， 并 且 需 要 安全 信息 匿名 
身份 验证 ， 当 维护 所 有 被 撤销 的 匿名 密 钥 的 撤销 列表 庞大 而 笨拙 时 ， 会 导致 很 严 
重 的 问题 。 而 且 当 验证 签名 时 也 应 该 验证 公 钥 的 有 效 期 ， 这 个 任务 在 车 载 网 络 中 
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实现 起 来 很 困难 。 

本 章 针对 车 辆 安全 通信 提出 了 使 用 新 颖 高 效 的 条 件 隐 私 保护 (ECPP) 协议 
[15], ECPP 协议 能 有 效 地 处 理 不 断 增长 的 撤销 列表 ， 实 现 权威 机 构 有 条 件 的 追 
滴 ， 而 不 需要 像 其 他 方案 那样 在 每 个 OBU 中 保持 一 个 巨大 的 存储 空间 ， 该 协议 

能 在 不 损失 安全 级 别 的 情况 下 保持 最 小 的 匿名 密 钥 存储 。 同 时 该 协议 还 可 以 对 安 
全 消息 进行 快速 验证 ， 并 提供 高 效 的 条 件 隐 私 跟踪 机 制 ， 可 以 作为 未 来 VANET 
的 备 选 方案 

本 章 中 ，3. 2 节 描 述 了 安全 模型 和 安全 问题 ，3. 3 节 详 细 描述 了 ECPP 协议 ; 

3.4 节 和 3.5 节 描 述 了 条 件 隐 私 保护 分 析 和 性 能 分 析 ; 最 后 ; 在 3.6 节 给 出 了 结 


论 。 





3.2 ”系统 模型 和 面临 的 问题 


3.2.1 系统 模型 


3.2.1.1 系统 角色 
图 3-1 显示 了 网 络 体系 结构 ， 它 由 三 个 网 络 实体 构成 ， 包 括 值得 信赖 的 机 构 
(TA) 、 路 侧 的 固定 RSU 和 安装 在 运行 车 辆 上 的 移动 OBU, 
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图 3-1 系统 模型 
e TA. 负责 路 侧 固 定 RSU 和 安装 在 车 辆 上 的 移动 OBU 的 注册 ， 并 能 显示 
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与 RSU 交互 安全 消息 的 OBU 的 真实 身份 。TA 假定 可 以 为 授权 提供 足够 的 计算 
和 存储 能 力 。 

e RSU: 从 属于 TA, RSU 的 存储 单元 用 于 存储 来 自 TA 和 OBU 的 信息 。 
RSU 的 主要 任务 是 当 OBU 请 求 时 发 出 一 个 短 时 匿名 公 钥 证 书 给 OBU， 并 协助 TA 
有 效 地 追踪 任何 发 出 安全 消息 的 OBU 的 真实 身份 信息 。 

e OBU: 安装 在 运行 车 辆 上 ，OBU 之 间 的 通信 主要 是 分 享 当 地 的 交通 信息 
以 改善 整个 安全 驾驶 条 件 ， 并 与 RSU 交互 请 求 短期 匿名 公 角 证书。 
3.2.1.2 信道 

目前 ， 安 全 车 辆 通信 服务 主要 用 于 民用 车 辆 ， 在 大 多 数 高 速 公 路 场景 中 ， 
RSU 与 TA 之 间 的 通信 主要 通过 有 线 连接 或 其 他 高 带宽 、 低 延迟 和 较 低 的 误 码 率 
[2] 的 链 路 连接 。RSU 之 间 可 以 通过 TA 或 者 是 通过 安全 可 靠 的 端 到 端 通信 。 
OBU 之 间 和 OBU 与 RSU 之 间 的 通信 使 用 IEEE 802. 11 p [16] ff 5.9GHz 专用 
短程 通信 (DSRC), 
3.2.1.3 假设 

TA 是 系统 中 各 方 完 全 信任 的 实体 ， 不 能 对 任何 攻击 者 妥协 。 

RSU 在 大 多 数 场景 中 是 固定 的 ， 并 从 属于 TA, RATA 的 授权 ， 大 多 数 
RSU 不 会 透露 任何 内 部 信息 ， 但 是 也 不 能 排除 在 路 边 的 一 小 部 分 RSU 可 能 被 攻 
击 者 控制 并 相互 勾结 ， 在 民用 场景 中 TA 有 很 高 的 权限 ， 可 以 检查 所 有 的 RSU, 
一 旦 TA 检测 到 RSU 在 某 个 时 间 段 被 控制 ，TA 可 以 采取 行动 在 下 一 个 时 间 段 恢 
复 它 。 

OBU 在 大 多 数 时 候 是 移动 的 ， 很 容易 被 恶意 攻击 者 捕获 。 和 RSU 相 比 ， 系 
统 中 的 OBU 的 数量 可 能 达 百 万 级 ， 而 RSU 的 数量 根据 国家 基础 设施 建设 情况 不 
超过 几 万 。 


3.2.2 设计 目标 


本 节 主 要 研究 有 条 件 的 隐私 保护 ， 下 面 两 个 安全 问题 需要 考虑 。 
3.2.2.1 高 效 的 安全 消息 匿名 认证 

为 了 抵制 虚假 消息 欺骗 攻击 ， 本 章 提 出 的 协议 在 安全 车 辆 通信 中 使 用 了 高 效 
的 安全 消息 匿名 认证 机 制 。 虚 假 消 息 欺 骗 是 VANET 中 一 个 基本 的 攻击 ， 攻 击 者 
在 网 络 上 扩散 虚假 信息 ， 通 过 恶意 影响 他 人 的 行为 来 达到 特定 的 目的 ， 例 如 为 了 
获得 最 好 的 交通 条 件 ， 攻 击 者 可 能 给 其 他 车 辆 发 送 假 的 交通 阻塞 消息 。 同 时 从 
OBU 的 角度 看 ， 在 安全 消息 进行 身份 验证 过 程 中 泄漏 个 人 隐私 包括 身份 和 位 置 
是 不 可 接受 的 。 

因此 在 安全 车 辆 通信 中 使 用 安全 的 匿名 安全 消息 身份 验证 对 于 VANET 来 说 
是 至 关 重 要 的 。 此 外 该 协议 应 该 是 高 效 的 ， 保 证 在 OBU 中 最 小 的 匿名 密 钥 存储 
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和 快速 验证 安全 信息 。 这 两 个 要 求 对 更 新 撤销 列表 任务 的 可 伸缩 性 是 很 重要 的 。 
3.2.2.2 ”高效 的 有 争议 安全 消息 的 溯源 

安全 消息 匿名 验证 的 一 个 重要 和 富有 挑战 性 的 问题 是 在 匿名 身份 验证 中 保持 
对 所 有 安全 信息 的 可 追溯 性 。 没 有 追溯 机 制 ， 消 息 匿 名 身份 验证 只 能 防止 外 部 攻 
击 而 不 能 处 理 内 部 攻击 。 

如 果 权威 机 构 没 有 提供 可 追溯 性 ， 一 个 内 部 攻击 者 可 以 进行 一 个 虚假 消息 其 
局 攻击 、 拒 绝 服 务 (DoS) 攻击 或 者 一 个 模拟 攻击 。 在 DoS 攻击 中 ， 攻 击 者 发 送 
大 量 的 无 关 信 息 干 扰 信道 或 消耗 其 他 OBU 的 计算 资源 ; 而 在 一 个 模拟 攻击 中 ， 
攻击 者 伪造 男 一 个 OBU 发 送 错误 消息 。 由 于 攻击 危及 整个 车 载 通 信 系 统 ， 因 此 
必须 提供 安全 消息 的 可 妃 溯 性 以 防止 内 部 攻击 。 

为 了 准确 地 实现 有 条 件 隐 私 保护 的 安全 消息 身份 验证 ， 为 了 实现 身份 验证 、 
匿名 性 和 不 可 链接 性 ， 本 书 定义 了 用 户 隐私 的 三 个 级 别 ， 见 表 3-1, 

表 3-1 有 条 件 隐私 级 别 定义 











SE 





























认证 匿名 不 可 链接 性 
隐私 级 别 1 V x x 
隐私 级 别 2 v V x 
隐私 级 别 3 v v v 














1%: TA 预期 的 隐私 水 平 ，TA 需要 从 验证 的 安全 消息 中 跟踪 真正 的 OBU 
的 身份 。 从 用 户 的 角度 来 看 ， 该 级 别 没有 隐私 。 

2 级 : 尽管 每 个 安全 消息 是 匿名 身份 验证 的 ， 攻 击 者 可 以 通过 收集 OBU 发 
出 的 大 量 安全 消息 跟踪 OBU。 这 种 级 别 的 隐私 是 不 足以 抵抗 运动 跟踪 攻击 的 。 

3 级 : 对 于 OBU 来 说 该 隐私 级 别 是 最 理想 的 ， 因 为 安全 消息 是 匿名 验证 的 ， 
即使 攻击 者 从 一 个 OBU 收集 了 一 些 安全 消息 ， 也 不 能 跟踪 到 该 OBU, 





3.3 ECPP 协议 


本 书 提出 的 ECPP 协议 包括 四 个 方面 的 内 容 : 系统 初始 化 、OBU 短 时 匿名 密 
HÆ., OBU 安全 消息 生成 和 发 送 以 及 OBU 快速 跟踪 算法 。 


3.3.1 系统 初始 化 


给 定安 全 参数 上 ，TA 首先 通过 运行 ben(k) 生成 双 线 性 参数 (q, G, G', 
Gr, e, P, 已 ) ， 然 后 TA 选择 两 个 随机 数 w，v e Z ; 作为 主 密 钥 ， 并 且 计 算 U' 
=uP’eG'#Ml U=uP, V=vP eG, TA 同样 选择 两 个 密码 哈 希 函数 : fg, Hon 
f, g:10, 1] * OZ; ， 和 带 有 安全 密 钥 k [17]. 的 安全 对 称 加 密 算法 Enc () 。 至 
Jt, 包括 (q, G, G', Gr, e, P, P', U, V, U', f, g，Enc()) 的 系统 参数 
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已 经 发 布 。 
算法 1: [A1] 初始 注册 











数据 : 根据 系统 参数 利 主 密 急 (u. v). TA 输入 标识 ID, IRA. 
结果 ， 生 成 对 应 1D; 有 效 的 私 钥 人 ， 或 者 如 采 是 上 ， 什 么 也 不 做 。 
开始 : 

检查 标识 ID, 的 有 效 性 
如 果 ID, BUG, 那么 
返回 |。 























AE ID, Æ RSU, IA 
选择 一 个 随机 数 x; e ZI REUS, hi IN x, +a 40 模 go 























x 1 1 
ZF te = icm 
REA =g P AR 5O 


tu 





存储 (ID;, uA) 对 芭 跟 踪 列 表 
返回 skh; = (x; A; Bi) 

则 如 采 ID; 是 OBU, AKA 

FEST EY id RID, = pne,( 1D;) 


; 1 
mua g 二 
RHS; “Dea SO 





Di 





返回 s = (RID,, S;) 











结束 
结束 


Algorithm 1; [A1] InitialRegister 

Data: With system parameters and master-key (u, v), the TA inputs an identity 7D, for private key 
extraction. 

Result: Generate a valid private key sk; corresponding to JD,, or do nothing if L. 

begin 

Check the validity of the identity ID; 

if /D, is invalid then 

return 上 

end 


if /D, is an RSU then 
Choose a random number x, € Zi such that x; + 4 # 0 mod q, and a location 





information L; 
Set A, = ——P, B, = —— P E€ G 
Xptu AlL +u 


Store the duplet (ZD,, uA,) into the trace list 
return sk; = (x, Aj, B;) 

else if /D, is an OBU then 

Compute the pseudo-id RID, = Enc,(ID;) 
Set S, = — —PeG 


E AID) 
return sk, = (RID,, S,) 











end 
end 
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当 RSU 或 OBU 提交 其 身份 ID; 到 系统 注册 时 ，TA 调用 算法 Al 获得 私 钥 sk; = 
InitialRegister (/D;), 然后 返回 系统 参数 和 私 铀 sk; 给 请 求 者 。 如 果 请 求 者 是 一 个 
RSU, 带 有 私 钥 sk; = (x;，4;，B;) 的 RSU 可 以 在 位 置 L, 正常 工作 ， 其 中 
(xi, Aj) 是 匿名 签名 密 钥 ， 而 B; 是 位 置 敏 感 的 密 钥 。 男 一 方面 ， 如 果 请 求 者 是 一 
个 OBU， 当 请 求 短 时 匿名 公 钥 证 书 时 ，OBU 可 以 使 用 私 钥 sk, = (RID;, S,) 来 对 
自己 进行 匿名 身份 验证 ， 其 中 RID; 是 从 真实 身份 ID; 计算 的 伪 id, S; 4&5 RID; 对 
应 的 基于 身份 的 私 钥 。 注 意 ， 即 使 一 些 OBU 和 RSU 被 破坏 ， 由 于 g - SDH 硬度 的 
假设 ， 从 泄露 的 私 钥 中 推出 其 他 OBU 和 RSU 的 私 钥 计算 上 仍然 是 不 可 行 的 。 


3.3.2 OBU 短 时 匿名 密 钥 生成 


一 般 情况 下 ， 每 个 OBU 需要 准备 大 量 的 存储 资源 来 保存 巨大 的 撤销 列表 ， 
本 书 提出 的 协议 避免 了 这 个 缺点 ， 当 OBU 是 通过 RSU 传递 时 ， 每 个 OBU 向 
RSU 请 求 一 个 短 时 匿名 密 钥 证 书 ， 此 外 针对 撤销 问题 ， 当 OBU 请 求 短 时 匿名 密 
钥 证 书 时 ，RSU 将 检查 OBU 是 否 在 新 的 更 新 撤销 列表 中 (从 TA 检索 ) ， 如 果 在 
IRF, RSU 不 会 采取 任何 行动 更 新 证 书 撤销 列表 。 本 节 主 要 描述 OBU 短 时 匿 
名 密 钥 证 书 的 生成 ,图 3-2 显示 了 OBU 短 时 匿名 密 钥 生成 ， 详 细 的 协议 步 又 描 
述 如 下 。 
































OBU (JD; , RID;) frat 万 BIRSUUD) 
L. n eZ; 
R =A ALP + U') reql:=R; 
: R= e(B;, R), C- Ene (0) 
res]:-C 一 
3. Ry = e(P, Ph, C' = Enc; CRj) 
kaa C=C’ 
x EZ = xP,7, 
a — (ru +A IRITS, 
C" = Encp, (RID; , Tj, Y, 04) 
req2:=C" 
i 解密 C$ 判断 R7D; 和 了 7 
检查 Re(P, p Tl RT) 2 
e(o; h(RID,)P’ + U’) 
i 发 布 证 书 Cer 
存储 (RID;, T,,Y, R,,01) 
res2:=Cert; 


6. eee Cert, EEG 
AA CP, Cert) 


图 3-2 OBU 短 时 匿名 密 钥 生 成 
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带 有 身份 ID; FLY id RID; 的 OBU 使 用 下 列 的 请 求 响应 协议 从 位 置 L 的 RSU 
请 求 短 时 匿名 密 钥 对 。 

步骤 1: 当 OBU 移动 到 位 置 L ， 首 先 应 该 验证 RSU 以 确定 是 否 OBU 应 该 将 它 
的 伪 id RID, 发 送 给 RSU 用 来 请 求 短 时 匿名 密 钥 。 如 果 RSU 没有 通过 认证 ， 那 么 
OBU 就 会 有 将 它 的 伪 id 暴露 给 攻击 者 的 风险 ， 所 以 OBU 选择 随机 数 r, e Z ^ f8)H 
MEE L W R =r (K(L) P' +U) eG', 并 且 发 送 reql: =R AME L f 
RSU。 


步骤 2: 收 到 regl: =R 后 ，RSU 使 用 位 置 敏 感 的 私 铀 By cu 计算 


R, =e(B;, Ri), REA R, 加 密 R 为 C=Encr， (Ri) 并 发 送 res1: =C 给 
OBU, 

JEJE 3. OBU HE Ri =e (P, P^, C' = Ene; (R) 并 且 检查 C = C' 关 
Z, WREE, IA RSU 通过 认证 ，OBU 可 以 发 送 伪 id RID, 用 来 申请 短 时 
1 

















匿名 密 钥 ; 否则 RSU 不 能 通过 认证 ， 因 为 R, =e(B;, R) =el TEN ra r (h 
j 
D ! 1 ! IT — pr 
(L;)P MM HE rui (h(Lj)) cu) P') ze(P, P)" ZR, 


然后 OBU 选择 短 时 有 效 周期 7;,， 和 随机 数 x eZ y 一 起 作为 它 的 短 时 匿名 私 
钥 ， 并 计算 周期 T; 内 的 相关 公 钥 了 上 = xPesG。 同 样 OBU 使 用 它 的 私 钥 S; = 








1 —" 
元 RD .QPeGoH$ c, =(r +f(Y || R | T;)))S;, 计算 Cc = Ency, (RID;, T;, 


7Y，ol ) ， 然 后 发 送 请 求 req2: = C" 到 RSU, 
步骤 4: 当 收 到 req2: =C" 后 ，RSU 首先 从 C" 和 R, 中 解密 (RID;, T;, Y, 
ol)， 然 后 从 TA 得 到 的 最 新 的 更 新 撤销 列表 中 检查 伪 id RID; 的 有 效 性 ， 如 果 
RID, 在 撤销 列表 中 ，RSU 拒绝 发 布 短 时 匿名 公 钥 了 证 书 并 且 终 止 协议 ， 否则 
RSU 检查 有 效 周 期 7 ， 因 为 长 的 有 效 周期 T; 可 能 会 导致 无 效 证 书 的 继续 有 效 和 
被 攻击 者 跟 踊 的 风险 ， 所 以 7 不 是 有 效 的 ， 那 么 RSU 同样 拒绝 发 布 证 书 ， 否 则 
OBU 检查 R, -e(P, POIRI -e(a,, h(RID,)P'+U'), WB, OBU 
认证 通过 ， 和 否则 OBU 不 能 通过 认证 ， 因 为 
e(o, ,h( RID,) P’ +U’) 
=e((r, +f(Y || R5 | T;) )S;,2CRID;) P' + uP’) 
=el Cri +A LR TD) ing ez CREDI) +0) P) 


=e( (ri +f(¥ || R3 || T;) ) P, P") 
-e(P,P')n *KYVlT) =R, < e( p, prf YER IT) 
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步骤 5: —H OBU 认证 通过 ，RSU 根据 短 时 匿名 公 钥 了 发 布 证 书 Cert; 给 
OBU。 首 先 RSU 选择 四 个 随机 数 a,，r。，r,,， rs EZ SHAE Ty, Ty, 6, ô, 
6, ，6;， 其 中 








Ty =aU,Ty =A; +aV,6=a * x, mod q 
ôi =r, U8, =r, Ty -reU 
6, =e(T,,r,P')/e(V,r,U' *rgP') 
然后 RSU 计算 ce，s。，s,，ss eZ。， 其 中 
ce=f(U IIVI Y IT, Tu I Ty à; 16 1 ôs) 





Sy =Tq *c* a mod q,s, 2r, +c ° X; mod q 
$$ 2 r5 +c * ô mod q 
最 后 ，RSU 设置 证 书 Cert; = (Ty, Ty, c, Sas S, 89) 并 且 发 送 res2: = 
Cert; 给 OBU。 另 外 为 了 维护 可 追溯 性 ，RSU 同样 存储 (RID;, T,, Y, Ry, o) 
在 本 地 证 书 列表 中 ，。 
BIRO: 为 了 检查 证 书 Cert, 的 有 效 性 ，OBU 计算 6; ，6;， 65, Hop 
6, =s,U -cTy,6 =s,Ty -ssU 
e( Ty ,s,P' c cU") 
e(V,s,U' +s5P')e(P,cP’) 
检查 c=f (UIV YIT; Ty Ty 18, 18 83), WRB, Cert; AR, 
否则 是 无 效 的 。 最 后 OBU 在 有 效 的 周期 T, 内 保存 短 时 私 钥 x CRURA FEE AA AH 
(Y, Cert;). 
3.3.2.1 校正 
根据 双 线 性 对 的 特点 ， 应 该 根据 下 面 的 三 个 关系 对 其 进行 校正 。 
ôi =s,U-cT, =(r, *c* aà)U —c * aU zr,U =ô; 
ô, 2s,Ty -sU - (r, t ex;) Ty - (rg * c8) U =ô, 
e( Ty ,s,P' +cU’) 
- e(V,s U' +55P’)e(P, cP’) 
E e(Ty,(r, +e * x; ) P' +cU’) 
e(V,(r, *c* a)U' c (rg +c- 6) P'e(P,cP') 
e(Ty,r,P')e(Ty,c "a P' deti) 
e(V,r,U' «rgP')e(V,c * aU' +c + 8P')e(P,cP') 
E e( Ty,r, P')e(V,c * 6P' c acU') 
e(V,r,U' +rsP')e(V,acU' +c » 6P') 
Ri 
~e(V,r,U' +rP) 3 
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3.3.2.2 安全 

OBU 短 时 匿名 密 钥 生成 是 由 OBU 和 RSU 之 间 的 请 求 - 响应 协议 完成 的 。 下 
面 本 章 将 对 双向 认证 和 短 时 证 书 的 匿名 性 进行 安全 性 检测 。 

© OBU 可 以 快速 地 认证 位 置 L, 上 的 RSU， 在 步骤 2， 如 果 RSU 返回 C = 
Encg (Ri), HF, R; =e(P, P')^, 那么 OBU 可 以 认证 RSU， 因 为 没有 相应 的 


位 置 敏感 密 钥 B, 二 ACL) OP， 攻击 者 是 不 能 从 已 =r, (AU) +u)P' 计 算出 正确 


的 R, =e(P, P’)", 

e RSU 同样 也 可 以 有 效 地 认证 带 有 伪 id RID; 的 0BU。 在 步骤 4， 如 果 公 式 
成 立 ， 那 么 RSU 可 以 认证 OBU， 因 为 是 关于 RID, 的 基于 身份 的 签名 ， 经 过 证 明 
对 相应 的 选择 消息 和 TD 攻击 是 安全 的 ， 所 以 没有 对 手 可 以 启动 模仿 RSU 攻击 。 

e 短期 证 书 Cert, 是 匿名 的 。 因 为 群 签名 技术 可 以 实现 匿名 认证 ， 因 此 步 双 
6 中 采用 群 签名 构建 的 短期 证 书 Cert; 可 以 被 视 为 VR et al. VLR 群 签名 [18] 
的 一 种 变 体 ， 它 不 仅 继承 了 原始 版 本 匿名 身份 验证 的 属性 ， 还 提供 权威 机 构 跟踪 
功能 作为 短 群 签名 [19], 。 因 此 短期 证 书 E rts 性 ， 确 保 OBU 
位 置 隐私 的 保护 ， 因 为 没有 人 可 以 通过 Cert, 判断 OBU 的 位 置 。 
3.3.2.3 讨论 

上 节 描 述 的 步骤 1 ~ 步骤 5 必须 在 RSU 的 有 效 覆 盖 内 执行 ， 因 此 短 时 匿名 密 
钥 生 成 必须 有 严格 的 时 间 限 制 ， 可 能 会 对 车 辆 速度 和 路 上 的 车 辆 密度 有 限制 。 为 
了 检查 性 能 ， 本 书 首先 计算 这 些 步 又 的 时 间 开 销 (7). G 中 的 点 乘法 和 配对 计 
算是 主要 的 计算 开销 ， 因 此 只 针对 这 些 操作 进行 计算 。 

表 3-2 AMT RAE Kk =6 和 160bit 的 g 的 MNT 曲线 [20] 的 测量 处 理 时 
间 (以 ms 为 单位 ) 。 该 计算 是 在 英特尔 奔腾 IV 3.0 - GHz [21] 机 右上 执行 的 。 
从 执行 时 间 的 结果 可 以 看 出 : 



































T, =13T mul + 6T, 
=13 x0. 6 +6 x4. 5 234. 8ms 
下 面 的 假设 同样 模拟 了 真实 的 场景 : 
e 车 辆 的 平均 速度 (用 "表示 ) 是 10 ~40m/s (或 者 36 -144km/h), RSU 
的 有 效 覆 盖 范 围 (用 R ange t7) 是 300m, 
e 车 辆 密度 (用 4d 表示) 考虑 四 车 道 双向 高 速 公 路 场景 下 覆盖 范围 是 100 ~400。 
表 3-2 密码 操作 执行 时 间 

















描述 执行 时 间 /ms 
Tow: EG 中 一 次 点 乘法 的 时 间 0.6 
7 :一 次 配对 操作 的 时 间 is 
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e 在 RSU 有 效 的 覆盖 范围 内 ， 每 个 OBU 单独 地 从 RSU 请 求 一 个 短 时 匿名 
AEE, p 是 每 个 OBU 发 出 请 求 的 概率 ,是 一 个 随机 变量 ， 表 示 在 全 部 ad 个 
OBU 中 请 求 的 OBU 数量 。 X 是 二 项 式 分 布 Bid, p), BE 


d). {a 
PiX =x} =| p*(1-p)?-*,2=0,1,2,--,d 
x 


和 数学 期 望 值 














Bx) = E (“pra =p) = dep 


x =0 
这 里 期 望 值 E(X) 表 示 短 时 匿名 公 钥 证 书 的 平均 请 求 数量 ， 可 以 表示 为 
Seg =E(X) =d -p 
为 了 测量 RSU 有 效 服务 能 力 ， 本 书 首先 估算 最 大 的 RSU 可 以 处 理 的 匿名 密 
JE (用 Su 表示 ) 。 在 车 辆 的 平均 速度 " 下， 对 有 效 的 RSU 覆盖 范围 Range 
和 时 间 开 销 TL A 








R range 


Smax F7, T, 
然后 计算 真正 处 理 的 匿名 密 钥 的 数量 〈 用 Spo KR) 为 
Sego WR Seq S Smax 
pe Swax， 其 他 情况 


定义 RSU 有 效 服 务 比 率 (用 Sa KAR) 为 


S = Pana 
ratio 一 S 


req 
那么 S, H AA Pil B A ei 


R anse 
1, WR -—s1 
Tp v 


ratio =) pe | 
T 二 ,其 他 情况 
当 Range =300m，T =34. 8ms, p =0.8 时 ，RSU 有 效 服务 比率 随 着 密度 d 和 
速度 v 变 化， 如 图 3-3 Bras, HP 100<d<400 和 10<v<40。 同 样 ， 可 以 看 出 
RSU 在 大 多 数 情 况 下 可 以 高 效 地 处 理 OBU 的 短 时 匿名 公 钥 证 书 ， 并 且 与 平均 车 
辆 速度 v 和 车 辆 密度 d 成 反比 ， 可 以 看 出 本 书 提出 的 OBU 短 时 匿名 密 钥 生成 协 
议 是 可 行 的 。 
3.3.3 OBU 安全 消息 发 送 


OBU 在 请 求证 书 Cert; 的 一 个 短 时 匿名 密 钥 对 (x, Y) 之 后 ， 可 以 在 短 时 有 
效 期 T, 内 发 送 安全 信息 。 在 ECPP 协议 中 的 安全 消息 的 格式 定义 见 表 3-3， 组 


S2 





> 
Ke 


0.7 


RSU 有 效 服务 比率 





250 


200 : 





图 3-3 M Rang =300m, T, 234. 8ms, p 0. 8 时 不 同 车 辆 
密度 d 和 不 同 平均 速度 的 RSU 有 效 服务 比率 

ID 用 于 识别 车 辆 所 在 的 组 ， 也 是 TA 的 标识 。 消 息 的 有 效 负 载 可 能 包括 位 置 、 当 

前 时 间 、 方 向 、 速 度 、 加 速度 /减速 度 和 当前 OBU 的 交通 事件 。 安 全 消息 的 有 效 

GBM [22] 是 100Byte。 第 三 部 分 是 对 消息 有 效 负载 的 OBU 签名 oy, dE 

40Byte。 第 四 部 分 是 OBU 短 时 匿名 密 钥 (Y, T;)), ， 最 后 一 部 分 是 短 时 匿名 密 钥 

的 证 书 Cert; . 























表 3-3 安全 消息 格式 














组 ID 载 答 签名 E n ag] 短 时 证 书 
2Byte 100Byte 40 Byte 26 Byte 121 Byte 


在 ECPP 协议 中 进行 隐私 保护 的 发 送 安 全 消息 M 的 OBU 可 以 运行 以 下 步骤 。 

步骤 1: 选择 随机 数 reZ。 , 计算 R=rPeG 和 s,=r+x:h(M, R) modg。 
设置 gy = (R, s). 

步骤 2: 按照 表 3-3 描述 的 格式 ， 组 成 消息 Msg [ID Mow | CY, T;) 
| Cet] 并 且 发 送 。 当 接 到 安全 消息 后 ， 接 收 者 执行 下 列 步 又 验证 有 效 性 。 

e 检查 有 效 的 周期 7;,。 如 果 过 期 ,停止 确认 过 程 。 

© 使 用 3.3. 1 小 节 步 又 6 的 操作 检查 匿名 密 钥 (Y，7,) 和 证 书 Cert,。 如 果 
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是 无 效 的 ， 终 止 确认 。 

e Hitman s P=R+h (M, R) 了 确认 签名 oy = (R，s,)。 如 果 成 
立 ， 则 安全 消息 可 以 被 接受 ， 和 否则 忽略 安全 消息 。 
3.3.3.1 修正 

协议 的 校正 根据 s,P= (rt+x+h(M, R))P=R+h(M,R)Y 进行 。 
3.3.3.2 安全 

在 随机 预言 模型 中 ， 在 自 适 应 选择 消息 攻击 下 ， 签 名 ow = (R, s) 对 存在 
的 伪造 是 安全 的 。 下 面 进行 简单 的 安全 分 析 。 假 设 有 一 个 对 手 4 以 M 和 了 作为 
输入 ， 在 多 项 式 时 间 内 有 很 大 的 可 能 输出 一 个 存在 伪造 。 假 设 h 作为 一 个 随机 预 
言 ， 然 后 根据 分 又 定理 [23], A 可 获得 针对 同一 消息 M. 的 两 个 伪造 。 的 两 个 
签名 伪造 分 别 是 oy = (R, sl) Alo =(R, sl), 其 中 R=rP, s,=r+x-h(M, 
R)modg fll s! 2r*x* h'(M, R) modq, 然后, s,—s; =x(h(M, R) -h'(M, R)) 
modq。 因 此 , x - (s, -s1) Ch(M, R) MOMS R)) ^! mod gqg。 然 而 结果 与 离散 对 
数 假设 相反 ， 因 此 签名 oy 是 不 可 伪造 的 ， 这 意味 着 ECPP 协议 可 以 抵制 伪造 消 
息 欺骗 攻击 和 模拟 攻击 。 


3.3.4 OBU 快速 跟踪 算法 


一 旦 发 生 针对 安全 消息 Msg - [ID || Ml oy || CY, T;) || Cert] 的 争议 ， 
ECPP 协议 使 用 快速 算法 跟踪 相应 的 发 出 争议 安全 信息 的 OBU, TA 首先 使 用 主 
密 钥 快速 定位 在 有 争议 的 安全 消息 Msg 中 发 布 证 书 Cert; 的 RSU, 根据 TA 的 要 
求 ，RSU 通过 搜索 当地 的 安全 证 书 列表 检索 有 争议 的 安全 消息 的 源 的 伪 id 并 将 
伪 id 返回 给 TA， 然 后 TA 根据 返回 的 伪 id 得 到 其 真实 身份 。 详 细 步 又 如 下 。 

2p9 1. TA 首先 从 证 书 中 得 到 (7,，7Ty)， 然 后 使 用 主 密 钥 (Qu, v) 得 到 
uA. 


J 





























uly -vTy =uA; + uaV -vaU 
= - uA; + auvP — auvP = uA; 

通过 在 跟踪 列表 中 寻找 条 件 为 uA; 的 条 目 (D, uA), TA 可 以 快速 发 现 发 
布 证 书 Cert; 的 RSU 的 标识 万 j。 然 后 TA 发 送 要 求 到 特定 的 RSU, 

步 又 2: RSU 首先 从 安全 消息 Msg 中 得 到 匿名 公 钥 (Y，7,) ， 然 后 根据 条 件 
(Y, Tj) 搜索 本 地 证 书 列表 得 到 条 目 (RID;, T;, Y, R, oi), FPR OBU f id 
RID, 和 对 (Y, T,) 的 签名 (Ri, o,) 发 送 回 TA, 

步骤 3: TA 使 用 主 密 钥 v 解密 RID, = Enc, (ID,) 来 恢复 真实 身份 标识 ID, , 
并 验证 (Y, T,) 的 签名 (Ro, m4), ， 通 过 验证 签名 可 以 对 OBU 匿名 密 钥 请 求 提 
供 不 可 抵赖 证 明 OBU。 然 后 TA 向 所 有 RSU 广播 伪 id RID,;， 每 个 RSU 在 本 地 撤 
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销 列表 中 添加 相应 的 伪 id RID,。 由 于 RID, 在 撤销 列表 中 ，OBU 不 能 再 从 RSU FA 
请 短 时 匿名 密 钥 ， 解 决 了 安全 车 辆 通信 中 证 书 撤销 问题 。 


3.4 有 条 件 隐私 保护 分 析 


本 节 主 要 分 析 ECPP 协议 的 有 条 件 隐 私 保护 。 首 先 因为 没有 OBU 可 以 得 到 
真实 身份 或 通过 安全 消息 启动 移动 跟踪 攻击 ， 因 此 ECPP 对 OBU 来 说 是 三 级 隐 
私 安 全 。 第 二 ,根据 3. 3.4 小 节 描 述 的 OBU 跟踪 算法 ，TA 可 以 得 到 安全 消息 的 
OBU 真正 身份 。 因 此 ECPP 中 的 安全 消息 对 TA 来 说 是 1 级 隐私 安全 。 

因为 RSU 为 OBU 发 布 短 期 证 书 ， 那 么 RSU 的 隐私 级 别 也 是 一 个 问题 。 当 
OBU 请 求 短 期 匿名 密 钥 时 只 将 伪 id 发 送 给 RSU, 该 id 是 匿名 实现 的 。 因 此 本 章 
主要 关注 其 不 可 链接 性 ， 即 针对 OBU 位 置 的 移动 跟踪 问题 。 基 于 下 列 假 设 本 章 
提出 了 描述 RSU 被 盗用 的 风险 的 概率 模型 ， 该 模型 可 以 用 来 跟踪 被 操控 的 OBU。 

由 于 RSU 是 相对 健壮 的 ， 本 市 假设 最 多 0.2% 的 RSU 在 一 段 时 间 内 可 以 被 
攻击 者 盗用 并 且 这 些 RSU 可 以 在 下 一 个 周期 被 很 快 解救 。 当 RSU 的 数量 N eu 
设 是 104 ， 那 么 损坏 的 RSU 数量 N, 是 W。x0.2% =104 x0.2% =20。 

在 一 个 周期 中 OBU 请 求 的 匿名 密 钥 的 数量 是 N， 那 么 NV 个 匿名 密 钥 中 至 
少 有 两 个 是 从 不 同 的 被 盗用 的 RSU 请 求 的 。 那 么 被 控制 的 OBU 的 位 置 是 可 以 被 
跟踪 的 。 

Prii 表示 IN, 个 匿名 密 钥 中 从 不 同 的 被 盗用 的 RSU 申请 到 ; 的 概率 ， 可 以 定 


N= N, 
N, -i A 


SOW Pri\it = > AA OBU 可 以 被 最 少 两 个 被 盗用 的 RSU 跟踪 的 














概率 是 : 
Nisu -Ne Ne (Nisu -Ne (N. 
N, Hi N, -1 Uu 


图 3-4 显示 了 OBU 位 置 跟踪 与 被 盗用 的 RSU 数量 之 间 的 关系 。 从 图 中 可 以 
看 出 ， 随 着 被 盗用 的 RSU 数量 和 匿名 密 钥 请 求 的 数量 的 增加 ， 跟 踪 概 率 增加 得 
非常 缓慢 。 例 如 当 N, =20 AN, = 100 时 ， 跟踪 概率 在 一 段 时 间 内 不 到 1. 696 , 
表明 了 本 书 提出 的 ECPP 协议 在 大 多 数 情 况 下 可 以 实现 RSU 的 3 级 隐私 安全 ， 在 
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某 些 罕见 的 情况 下 可 以 实现 针对 盗用 的 RSU 的 2 级 隐私 安全 。 


跟踪 概率 (x10 7) 
hi 








WV 
M 

















yk sue 
0 ~ 100 eee 





图 3-4 不 同 NW 和 NV 下 ECPP 协议 的 跟踪 概率 (其 中 1<N <100, 1<N,<20) 


3.5 性 能 分 析 


AP ERPF ECPP 协议 在 OBU 匿名 密 钥 存储 和 验证 有 效 安 全 消息 的 计算 
开销 以 及 TA 跟踪 安全 消息 的 计算 复杂 性 方面 的 性 能 。 


3.5.1 OBU 存储 开销 


本 节 将 ECPP 协议 与 其 他 两 个 协议 HAB [1] 和 GCSB [14] Æ OBU 存储 上 
的 开销 进行 对 比 。ECPP 协议 在 每 个 OBU 上 存储 一 个 唯一 的 TA 发 布 的 私 钥 和 
RSU 发 布 的 短 时 密 钥 对 及 匿名 证 书 。 每 个 密 钥 (包括 它 的 证 书 ) 需要 一 个 存储 
单元 。 由 于 OBU 不 需要 存储 撤销 列表 ， 因 此 ECPP 中 的 存储 开销 只 有 两 个 单位 ， 
表示 为 Spcpp =2。 在 HAB 协议 中 ， 每 个 OBU 不 仅 要 存储 自己 的 Ni 匿名 密 铀 
对 ， 还 需要 存储 所 有 的 匿名 公 钥 和 撤销 列表 中 的 证 书 。 假 设 有 个 OBU 被 撤销 ， 
JS ARR RU ABAD n Ni。,， 所 以 HAB 的 总 的 存储 开销 是 (表示 为 
Suas) Æ Suan = (n1) * Na, IE Nu, =10*, IBAA Shap =(n +1) +104, 





56 


第 3 章 ECPP: 高 效 、 有 条 件 的 隐私 保护 协议 eoo 


在 GSB 中 ,每 个 OBU 存储 TA 发 布 的 一 个 唯一 的 私 钥 和 和 撤销 列表 的 个 
撤销 公 钥 。Scsg 为 总 的 存储 单元 。 因 此 ，Scsp =n+1。 

图 3-5 显示 了 nn 增加 时 ECPP、HAB 和 GSB 所 需 的 存储 单元 。 从 图 中 可 以 看 
H, HAB 中 的 存储 开销 与 是 线性 增加 关系 ， 比 其 他 两 个 协议 多 。 随 着 n 的 线 
性 增加 GSB 的 存储 开销 比较 小 ， 但 是 本 书 提出 的 ECPP 协议 的 存储 开销 是 最 高 效 
的 , 在 OBU 中 只 占 两 个 存储 单元 ， 不随 n 的 增加 而 增加 。 另 外 OBU 撤销 的 数量 
越 大 ， 撤 销 列表 就 越 大 ， 这 意味 着 CSB 和 HAB 中 的 OBU 需要 花费 更 长 的 时 间 
来 更 新 它们 的 本 地 撤销 列表 ， 而 ECPP 协议 不 需要 做 这 个 工作 。 
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撤销 的 OBU 数 下 


图 3-5 不 同 的 撤销 OBU 数量 (n A 1 $8]50) 下 ECPP、 
GSB 和 HAB 中 每 个 OBU 的 存储 开销 








3.5.2 OBU 验证 计算 开销 


本 节 对 ECPP 协议 和 GSB 协议 的 OBU 计算 开销 进行 了 比较 。 在 ECPP 协议 

中 ,确认 安全 消息 按照 3.3.3 小 节 描 述 ， 需要 LT m +3Tpair BE Tecpp 是 
ECPP 协议 中 需要 的 时 间 ， 那 么 

Tecpp = ALT ut +37 =11 x0. 86 +3 x4. 14 221. 88ms 


而 在 GSB 协议 中 ， 确 认 安 全 消息 的 时 间 与 撤销 列表 中 的 撤销 的 OBU 的 数量 
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相关 ， 假设 Tess 是 GSB 协议 需要 的 时 间 ， 假 设 撤销 的 OBU 数量 是 n， 按 照 CSB 
[14] 协议 ， E Toy 
Tose =6T mul + (3 +20) Tua 
=6 x0. 86 + (3 +2n) x4. 14 217.58 +n x8. 28ms 





" Tec 21. 88 sce : 
然 poe Hi uy jc 5E EF f] Fk 
RE, Tee Tos, 17.38 n x828 Æ ECPP 和 GSB 之 间 的 所 需 时 间 的 比 


R, 图 3-6 显示 了 当 撤 销 OBU 的 数量 n 在 0 到 50 之 间 Tic 的 变化 。 从 图 中 可 以 
TB, CH n 增加 时 ，Tec 是 减 小 的 ， 表 明 ECPP 协议 比 其 他 两 种 协议 更 有 效 ， 尤 
其 是 当 撤销 列表 很 大 时 更 突出 。 





























导 时 间 比率 


所 需 


i i 六 洲 洲 米 米 米 米 米 洲 米 米 米 米 洲 米 六 
0 5 10 5 20 25 30 35 40 45 50 
撤销 OBU 的 数 号 


图 3-6 fis OBU 的 数量 从 0 到 50 变化 时 ， 时 间 有 效率 Tee = TEcpp/ATess 的 变化 




















3.5.3 TA 进行 OBU 跟踪 的 计算 复杂 度 


本 节 评 估 ECPP、HAB 和 GSB 协议 中 TA 进行 OBU 跟踪 时 的 计算 复杂 度 。 为 
了 公平 地 比较 ， 三 种 算法 采用 相同 的 搜索 算法 。 表 3-4 中 描述 了 评估 的 条 件 ， 表 
3-5 描述 了 评估 结果 。 从 结果 中 可 以 看 出 ，ECPP 协议 中 采用 线性 搜索 算法 的 TA 
跟踪 算法 明显 优 于 其 他 两 个 协议 ， 对 于 二 进 制 搜索 算法 ， 三 个 协议 的 计算 复杂 度 
几乎 一 样 。 




















表 3-4 符号 和 大 致 范围 























描述 范围 
Na: 系统 中 RSU 的 数量 104 
Nau: 在 时 间 内 一 个 RSU 处 理 的 匿名 密 钥 数 量 103 
Nau: 系统 内 OBU 的 数量 10’ 
Na; OBU 拥有 的 匿名 密 钥 数量 104 
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表 3-5 计算 复杂 度 比较 











协议 线性 搜索 二 进 制 搜索 
ECPP OCN su + Na) O(log( N, * Nikey) ) 
HAB OCN wa * Na) O(log( Nay, * Nokey ) ) 
GSB O(N ow) O(logN ou ) 








3.6 结论 


本 章 提 出 了 一 种 新 颖 的 用 于 车 辆 安全 通信 的 条 件 隐 私 保护 (ECPP) 协议 。 
基于 OBU 和 RSU 之 间 动 态 短期 匿名 密 钥 生成 ，ECPP 协议 不 仅 能 够 提供 条 件 隐 
私 保 护 ， 满 足 VANET 应 用 的 要 求 ， 同 时 该 协议 通过 OBU 匿名 密 钥 的 最 小 化 存 
储 、 快 速 验 证 安全 信息 和 高 效 的 条 件 隐 私 跟 踪 机 制 来 提高 效率 。 通 过 仿真 评估 表 
明 ECPP 协议 比 GSB 和 HAB 协议 可 以 达到 更 好 的 效率 。 
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4.1 概述 


前 面 几 章 讨论 了 VANET 中 用 于 认证 和 有 条 件 隐 私 保护 的 GSIS 和 ECPP Hh 
议 。 本 章 主要 描述 通过 高 效 的 社交 点 策略 假名 修改 来 实现 车 辆 的 高 级 别 位 置 隐私 
保护 。 

众所周知 ， 为 了 保证 位 置 隐私 ，VANET 通常 的 做 法 是 当 车 辆 广播 安全 消息 
时 周期 性 地 改变 车 辆 的 假名 【其 中 每 个 安全 消息 是 4 元 组 (包括 时 间 、 位 置 、 
速度 、 内 容 ) 并 且 用 假名 签名 进行 认证 ] [1 -3]。 由 于 车 辆 在 道路 上 使 用 不 同 
的 假名 ， 假 名 之 间 的 不 可 连接 性 保证 了 车 辆 的 位 置 隐私 。 但 是 如 果 车 辆 在 不 合适 
的 时 间 修 改 假名 ， 那 么 假名 的 修改 并 不 能 保证 位 置 隐私 ， 因 为 攻击 者 仍然 有 可 能 
将 新 的 假名 和 旧 的 假名 进行 联系 [4]。 例 如 在 图 4-1 中 ,路 上 有 3 辆 车 ， 如 果 
TE At 内 只 有 一 辆 车 修改 了 假名 ， 那么 攻击 者 仍然 可 能 监控 假名 的 联系 。 即 使 3 
辆 车 同时 修改 了 假名 ， 在 安全 消息 中 的 位 置 和 速度 信息 仍 能 为 攻击 者 提供 线索 将 
假名 的 关系 进行 连接 ， 造 成 隐私 保护 的 失败 。 所 以 在 VANET 中 人 迫切 需要 通过 频 
繁 地 修改 假名 实现 位 置 隐私 的 精确 度 的 方案 。 在 假名 修改 过 程 中 ， 多 维特 征 因子 


RRX F=\F,, FQ Fy, |, Ol, WER F=1F,, F, Fy, | 可 以 代表 
| 时 间 、 位 置 、 速 度 ……| 因素 。 在 特定 的 场景 下 ， 攻 击 者 有 能 力 监控 子 集 下 = 
(Fi, Fa, =, Fy} CF， 并 使 用 它 来 标识 车 辆 的 假名 修改 过 程 。 假 设 bo = (x, 
xoc x) ADL = (ns you s ya) 是 攻击 者 观测 的 两 辆 车 的 假名 修改 过 程 
的 特征 向 量 ,那么 by 和 b, 之 间 的 基于 余弦 的 相似 性 可 以 定义 为 ; 

boObo NMianth 


lool bt DEFEAT 























cos( bo ,b1) = 
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从 上 式 可 以 看 出 当 by Ab, IPI, cos(by, b1) =1。 因 为 监控 不 准确 ， 
如 果 1 1-cos (bo, b1) | <e， 对 于 一 些小 的 误差 值 e>0， 那 么 两 个 假名 修改 
过 程 在 攻击 者 眼中 是 不 易 察觉 的 。 所 以 为 了 高 质量 地 保护 位 置 隐私 ， 车 辆 应 该 先 
择 合适 的 场景 尽 可 能 地 同步 进行 不 易 察觉 的 假名 修改 过 程 。 








假名 和 IDR KE TE 起 的 
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4-1. 当 在 一 个 不 合适 的 场合 改变 假名 时 的 连接 


为 了 在 VANET 中 实现 高 级 别 的 位 置 隐私 保护 ， 本 章 提 出 了 在 社交 点 策略 
(PCS) [11] 下 的 高 效 假名 修改 。 在 PCS 策略 中 ， 社 交点 是 很 多 车 辆 的 临时 聚 
集 地 ， 例 如 当 交 通 灯 变 红 时 的 道路 交叉 口 ， 或 者 商场 附近 的 停车 场 。 如 果 所 有 的 
车 辆 在 离开 这 个 点 时 全 部 修改 假名 ， 那 么 第 一 个 广播 的 安全 消息 包括 不 易 察觉 的 
信息 位 置 = 社交 点 、 速 度 =0 和 不 能 连接 的 假名 ， 那 么 社交 点 自然 就 成 了 可 以 实 
现 位 置 隐私 保护 的 混合 区 域 。 

首先 ，PCS 策略 可 以 利用 社交 点 的 唯一 特征 即 在 社交 点 临时 停靠 了 很 多 车 
辆 ， 另 外 作为 PCS 策略 的 重要 技术 ， 本 书 使 用 了 实用 的 密 钥 隔 绝 的 假名 自 授权 
(KPSD) 模型 ， 使 用 该 模型 可 以 安全 地 生成 很 多 定制 的 短 时 密 钥 并 且 可 以 减 小 
车 辆 遭 盗 窃 的 威胁 。 

第 二 ， 为 了 检测 PCS 策略 的 隐私 保护 质量 ， 本 书 提出 了 匿名 集 尺 十 作为 隐 
私 测量 标准 (匿名 集 尺 寸 越 大 ， 匿 名 达到 的 程度 越 高 [4 -12 ] ) 。 之 前 报道 的 大 
多 数 方案 [4, 10] 在 VANET 中 使 用 仿真 来 估计 方案 实现 的 位 置 隐私 水 平 ， 而 
本 节 的 匿名 集 分 析 模 型 将 提供 新 的 研究 思路 。 

第 三 ,为 了 证 明 PCS 策略 可 以 有 效 地 在 实践 中 应 用 ， 本 章 使 用 简单 的 博弈 
论 方法 来 说 明 PCS 策略 的 可 行 性 。 结 果 证 明 为 了 更 好 地 保护 位 置 隐私 ，PCS 策 
略 能 引导 车 辆 在 适当 地 时 间 和 地 点 智能 地 改变 它们 的 假名 。 

本 章 4. 2 节 将 通过 描述 网 络 模 型 和 威胁 模型 来 描述 VANET 中 的 问题 并 确定 
位 置 隐私 的 需求 ; 4.3 节 描 述 PCS 策略 ; 4.4 节 是 方案 评估 ; 最 后 4.5 节 将 进行 
总 结 
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4.2 问题 定义 


本 节 描 述 了 VANET 网 络 模型 、 威 胁 模型 和 位 置 隐私 的 需求 ， 并 描述 了 位 置 
隐私 面临 的 问题 。 


4.2.1 网 络 模 型 


本 章 假 设 在 城市 中 VANET 由 大 量 的 车 辆 和 一 组 社交 点 组 成 。 

。 车 辆 : 在 城市 中 每 天 都 有 大 量 的 车 辆 在 路 上 运行 ， 每 个 车 辆 都 配备 了 一 
个 车 载 单元 (OBU) 设备 ， 允 许 车 辆 与 其 他 车 辆 通信 来 分 享 当地 的 交通 信息 ， 
以 改善 整体 安全 驾驶 的 环境 。 

e 社交 点 : 城市 地 区 的 社交 点 是 指 许多 车 辆 聚集 的 地 方 ， 例 如 交通 灯 为 红 
灯 时 的 十 字 路 口 或 者 是 购物 中 心 附近 的 免费 停车 场 ， 见 图 4-2。 由 于 红色 交通 灯 
的 间隔 比较 短 ( 即 30 或 60s)， 因 此 十 字 路 口 就 是 一 个 小 的 社交 点 。 而 购物 中 心 
常常 一 整 天 都 营业 ， 众 多 顾客 的 的 车 辆 都 长 时 间 停 在 停车 场 ， 因 此 商场 附近 的 免 
费 停车 场 称 为 一 个 大 的 社交 点 。 一 般 情况 下 ， 社 交点 通常 会 有 许多 车 辆 ， 如 果 在 
社交 点 上 所 有 车 辆 都 无 差别 地 改变 他 们 的 假名 ,那么 社交 点 自动 成 为 混合 区 。 








图 4-2 包括 道路 交叉 路 口 和 免费 停车 场 的 社交 点 
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4.2.2 威胁 模型 


与 其 他 无 线 通信 设备 不 同 的 是 ,一旦 车 辆 在 道路 上 运行 ,车辆 配备 的 OBU 
设备 就 不 能 关 掉 [13 ] ， 然 后 窃听 者 可 以 通过 OBU 广播 的 安全 消息 监视 某 一 辆 
车 的 位 置信 息 ， 有 具体 地 说 ， 在 本 章 的 威胁 模型 中 ， 一 个 全 面 的 外 部 攻击 者 A 配 
备 了 无 线 设 备 跟踪 车 辆 的 位 置 ， 其 中 

© 全 面 意味 着 攻击 考 有 能 力 在 网 络 中 使 用 无 线 设 备 以 及 一 些 特殊 的 窃听 设 
备 [14] 来 监测 和 收集 所 有 的 安全 消息 ， 其 中 安全 消息 包括 时 间 、 位 置 、 速 度 、 
内 容 以 及 假名 。 由 于 假名 是 不 可 链接 的 ， 并 且 内 容 可 以 设置 为 无 关 紧 要 的 ， 因 此 
攻击 者 主要 跟踪 车 辆 的 时 间 、 人 位置、 速度 ， 即 模型 中 提 到 的 时 空 方式 。 

。 外 部 表示 攻击 者 只 能 被 动 地 窃听 通信 ， 而 不 积极 尝试 危害 运行 车 辆 。 

攻击 者 A 可 以 在 城市 地 区 使 用 摄像 头 跟踪 通过 的 车 辆 ， 但 是 基于 摄像 头 的 
全 面 窃听 的 成 本 远 高 于 基于 无 线 的 穷 听 [10] ， 因 此 本 章 不 考虑 基于 摄像 头 的 全 
HHN, 


4.2.3 位 置 隐私 保护 需求 


抵制 全 面 的 外 部 攻击 者 的 跟踪 并 实现 VANET 的 位 置 隐私 ， 必 须 满足 下 列 需 
求 。 

e 需求 1: 身份 隐私 是 位 置 隐私 的 先决 条 件 ， 因 此 车 辆 都 应 该 使 用 一 个 假名 
代替 真实 身份 来 广播 消息 ， 然 后 通过 隐藏 真实 身份 来 实现 身份 隐私 。 

。 需求 2: 每 辆 车 应 该 定期 改变 其 假名 来 减少 前 者 和 后 者 位 置 之 间 的 关系 。 
此 外 ， 应 该 在 适当 的 时 间 和 地 点 改变 假名 以 确保 位 置 隐私 。 

e 需求 3: 位 置 隐私 在 VANET 中 应 该 是 有 条 件 的 ， 如 果 广 播 的 安全 消息 存 
在 问题 ， 可 信和 权威 (TA) 可 以 公开 其 真实 身份 ， 即 TA 有 能 力 来 确定 广播 有 和 争 
议 的 安全 消息 的 车 辆 的 位 置 。 

在 上 面 提 到 过 ， 社 交点 可 以 作为 混合 区 ， 因 此 本 章 将 根据 这 一 特性 提出 VA- 
NET 中 的 PCS 策略 实现 位 置 隐私 。 


4.3 位 置 隐私 的 PCS 策略 


本 市 提出 的 PCS 策略 可 以 在 VANET 中 实现 位 置 隐私 。 本 节 提 出 了 两 个 匿名 
集 分 析 模 型 ， 探 讨 PCS 策略 实现 位 置 隐私 的 级 别 ， 并 使 用 简化 的 博弈 论 方法 讨 
论 其 可 行 性 。 本 节 首 先 提 出 一 个 可 操作 的 密 钥 隔 绝 的 假名 自 授 权 (KPSD) Bi 
型 ， 可 以 安全 地 生成 许多 定制 的 短 时 密 钥 并 作为 PCS 策略 的 基础 。 
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4.3.1 PCS 策略 的 KPSD 模型 


为 了 支持 PCS 策略 ， 车 辆 必须 持 有 一 定数 量 的 假名 , 在 [1] 中 描述 了 简单 
和 直接 的 解决 方案 ， 车 辆 上 装备 的 OBU 设备 拥有 可 信 的 权威 (TA) 授权 的 大 量 
匿名 短 时 密 钥 ， 显 然 当 周期 性 地 改变 假名 时 ， 该 方案 可 以 有 条 件 地 实现 位 置 隐 
私 ， 然 而 该 方案 需要 OBU 设备 有 一 个 大 的 存储 空间 来 存储 这 些 短 时 密 钥 。GSIS 
[15] 是 基于 组 签名 的 技术 ， 可 以 不 需要 改变 假名 来 实现 有 条 件 的 位 置 隐私 。 

然而 纯粹 的 群 签名 验证 通常 是 很 费时 的 ， 可 能 不 适合 一 些 时 间 敏 感 的 VA- 
NET 应 用 。ECPP [15] 是 一 个 结合 了 群 签名 和 普通 签名 的 匿名 身份 验证 技术 ， 
在 ECPP 中 ， 当 一 个 合法 的 车 辆 经 过 RSU 时 ，RSU 将 授权 一 个 基于 组 签名 的 短 
时 匿名 证 书 给 车 辆 ， 然 后 车 辆 可 以 使 用 它 与 普通 签名 技术 对 消息 进行 签名 
[16]。 一 旦 收 到 签署 的 消息 ,任何 人 都 可 以 通过 检查 两 个 匿名 证 书 的 真实 性 和 
消息 签名 来 验证 消息 。 当 车 辆 签署 了 许多 信息 时 ， 任何 验证 者 只 需要 对 证 书 执行 
一 个 组 签名 验证 操作 ， 因 此 ECPP HE GSIS 更 有 效率 。 类 似 于 ECPP 协议 ，Ca- 
landriello et al [17] 受到 泛 在 计算 中 匿名 PKI [18] 的 启发 ， 结 合群 签名 和 普通 
签名 技术 实现 了 VANET 的 匿名 身份 验证 ， 因 为 短 时 匿名 证 书 是 由 车 辆 本 身 产生 
的 ， 他 们 的 方案 非常 灵活 ， 但 是 车 辆 一 旦 被 盗 ， 在 检测 到 之 前 ， 小 偷 可 以 任意 生 
成 有 效 的 短 时 匿名 证 书 ， 具 有 很 大 的 潜在 危害 。 为 了 减轻 这 种 负面 影响 ， 本 书 提 
出 一 个 实用 密 钥 隔绝 的 假名 自 授权 (KPSD) 模型 。 

图 4-3 所 示 的 KPSD 模型 中 ，TA 并 不 直接 为 车 辆 预 分 配 一 个 授权 的 匿名 密 
钥 ， 相 反 它 为 用 户 (车 辆 的 所 有 者 ) 提供 了 一 个 授权 匿名 密 钥 。 用 户 通 常 将 匿名 
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图 4-3 VANET 中 用 于 位 置 隐私 的 实用 KPSD 模型 
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授权 密 钥 存储 在 一 个 安全 的 环境 中 ， 如 家 里 ， 当 用 户 准备 旅行 时 用 户 第 一 次 生成 
所 需 的 自 授权 的 短 时 密 钥 并 且 安 装 在 OBU 设备 中 ， 之 后 当 车 辆 运行 在 城市 地 区 
时 ， 这 些 短 时 密 钥 可 以 用 来 签署 消息 。 因 为 车 辆 盗窃 仍 是 一 个 严重 的 问题 ( 例 
如 根据 统计 数据 显示 ， 每 年 在 加 拿 大 超过 170000 辆 车 辆 被 盗 [19] )， 因 此 一 旦 
车 辆 被 盗 ， 小 偷 可 以 胡乱 操作 这 些 短 时 密 钥 ， 但 是 与 其 他 的 方案 [1, 14, 15, 
17] 不 同 ，KPSD 模型 中 ， 授 权 的 匿名 密 钥 不 存储 在 车 辆 中 ， 汽 车 资 贼 不 能 产生 
更 多 的 短 时 密 钥 ， 因 此 KPSD 模型 可 以 减轻 由 于 车 辆 被 盗 带 来 的 危害 。 如 果 授 权 
的 匿名 密 钥 是 通过 基于 密码 的 防止 算 改 的 设备 保护 的 ，Calandriello et al [17] 的 
方案 可 以 看 成 是 KPSD 模型 ， 但 成 本 会 相应 增加 。 

本 书 将 构建 一 个 高 效 的 使 用 不 对 称 双 线 性 组 [20] 的 KPSD 方案 作为 PCS 
策略 的 基础 。 
4.3.1.1 构建 

本 章 提 到 的 KPSD 方案 是 基于 Boneh - Boyen 短 签名 [21] 和 有 条 件 隐 私 保 
护 鉴 权 技术 [15, 22] 的 ， 主 要 包括 四 个 部 分 : 系统 初始 化 、 密 钥 生 成 、 假 名 
自 授权 生成 和 有 条 件 的 跟踪 。 

系统 初始 化 : 和 参考 文献 [20] 的 表述 类 似 , 上 是 安全 参数 ，G ，G 和 Gy 
是 三 个 由 .cen (k) 产生 的 ， 具 有 相同 大 素数 顺序 q 的 (乘法 ) 循环 组 ， 其 中 
lql =k, BRG, G'fIG 7 是 非 退化 的 和 高 效 可 计算 的 双 线 性 映射 e: G KG! 
一 G w+， 使 对 于 所 有 的 a, beZ? 和 任何 的 gi eG,, g,€ G5, He(gt, gh) =e 
(gi, 8)" eG 4, 由 是 单 向 (容易 计算 但 是 很 难 反 转 ) 从 G ' 到 G 的 同 态 映 射 。 
TA 首先 选择 两 个 随机 数 u, ve Z 作为 主 密 钥 ， 并 且 计算 U = gt, U, = gs II 
Vi gio Fgh TA 还 选择 公共 抗 碰撞 哈 希 函数 : AH: (0, 1} * OZ o o BoA, TA 
发 布 系统 参数 params = (q4, G, G', Gr, e, gi, gj, Ui, Un, V, H), 

密 钥 生成 : 当 带 有 标识 ID; 的 用 户 v 加 入 系统 时 ，TA 首先 选择 一 个 随机 数 
8; eZ; , 使;, +u#0 mod q, 计算 A; = gi. 然后 TA 在 跟踪 列表 中 存储 CID;, 
AT) 并 且 返回 4SK; = (s;，4; map) 作为 用 户 的 授权 匿名 密 钥 。 

自 授权 假名 生成 : 在 收 到 授权 的 匿名 密 钥 ASK; 后 ，z 将 其 放 入 安全 环境 中 
(例如 家 里 ) 25 v, 开始 在 城市 中 旅行 时 ， 它 首先 按照 下 列 步 又 生成 旅行 中 需要 
用 的 匿名 短 时 密 钥 ， 这 个 行为 与 旅行 前 给 车 辆 加 满 油 类 似 : 

1) v; 首先 选择 1 个 随机 数 x , xS, cs, x eZ “作为 短 时 私 钥 ， 并 且 计 算 旅 
行 所 需 的 相关 的 公 和 钥 了 =g%”， 其 中 j=1, 2, l 

2) 对 于 每 个 短 时 公 钥 Y, v; 按照 下 面 步骤 计算 匿名 的 自 授 权证 书 Cert,。 

e MILE a, ras r, reZ", HEHH Ty, Ty, 8, 8, 85, ô, Hs 
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Ty =U ,T, 2A; * Vi ,6 =a * x; mod q 
8, = U's ,6, = Ty/US (4.1) 
8, =e(Ty,gy")/e(V, ,U,'«' &?) 

* 计算 c =H(U, | Vi | Y; | Ty | T, || 6; || 6, | 63), FFA su, 5 


Sa ETa +C * @ mod q,s, =r, +c * x; mod q 


ae ssEZ, ， 其 中 : 
S5 =rs +c * ô mod q A 

e 设置 Com = {YM Ty || Ty lell sa lis, 1 ss| 为 证 书 。 

3) 在 所 有 的 匿名 自 授权 证 书 Cert,, j=1, 2, =, LERA, v 将 它们 安装 
EME, MKIA HY x || Y; || Cert, j 21, 2, --L CA SI OBU 设备 中 。 之 后 当 
车 辆 行驶 在 城市 中 ，w 可 以 使 用 一 个 短 时 密 钥 a LY, || Cort, 通过 签名 o = o n 
来 认证 消息 W， 并 且 广 播 

msg = (M |a || Y, || Cert;) (4.3) 

一 旦 收 到 消息 msg = (M || o NY; || Cert), f A RT ARR F f AP DR d 
其 有 效 性 。 

1) 如 果 证 书 Y, || Core, 没有 被 检查 ， 确 认 者 首先 计算 

6 = Use/Ts, ,60', = TAU 
,____e(Ty ex + U5) (4.4) 
* e(V, Uy + gy)e(g1 gi) 














并 且 检查 是 否 

cz HQU, | Vi WY; To Ty O's 18% 1055) (4. 5) 
如 果 上 式 成 立 ， 证 书 Y, || Cert 通过 确认 。 校 正如 下 : 
(a) 8', = Uye/Ty = Ug * "Up? =ô; (b) 8; = TY UP = Tp ^ Up*? = 





95; 
(e) 6’, ze(Ty,gy + U5)/e(V 4 ,Uy + g2 )elgi ga) c e(Ty,gy)/e(V4 Uy * 
g?) 70; 
2) 一 旦 证 书 || Y, || Cort, 通过 确认 ， 确 认 者 检查 





e( Y, «gi ,0) el y ais) (4.6) 
如 果 上 式 成 立 ， 则 消息 M 是 可 接受 的 ， 否 则 消息 相应 该 被 拒绝 ， 因 为 
e(Y, * fl or) selgi O gy) zele) BER, eC am) TERT 


以 提前 计算 。 
有 条 件 跟踪 : 一 旦 拥有 证 书 Cert; = (Y; (Ty Ty lle Isa ll sy liss} 的 可 接受 
消息 W 出 现 争 议 ，TA 使 用 主 密 钥 (u, v) 计算 
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T/T}, =A" < V"/U* =A" g/g =A" (4.7) 

并 且 通 过 在 跟踪 列表 中 搜索 (ID,, AY) 条 目 跟踪 真实 的 身份 万 ,。 
4.3.1.2 安全 

因为 短 签名 [21] 和 条 件 隐私 保护 认证 [15] 是 安全 的 ， 因 此 本 章 提 出 的 
KPSD 方案 的 安全 是 可 以 保证 的 ， 即 它 可 以 有 效 地 实现 匿名 身份 验证 和 有 条 件 的 
跟踪 来 满足 位 置 隐私 的 要 求 。 此 外 ， 该 KPSD 方案 还 可 以 减轻 由 于 车 辆 被 盗 而 造 
成 的 危害 ， 因 为 自 授权 匿名 密 钥 ASK, 是 密 钥 隔绝 的 ， 即 它 是 存储 在 一 个 安全 的 
环境 的 ， 资 贼 不 能 获得 被 盗 车 辆 的 4SK ， 不 能 产生 新 的 自 授权 的 短 时 密 钥 。 
4.3.1.3 性 能 

在 VANET 中 ， 车 辆 在 短 时 间 内 (例如 300ms) 确认 签名 消息 是 很 困难 的 ， 
假设 Tuus. Tasas, Top :是 配对 操作 所 需要 的 时 间 ， 分 别 对 G 和 G ' 取 震 。 然 后 检 
查 从 相同 源 来 的 消息 n， 其 中 nn 二 1。KPSD 匿名 认证 确认 时 间 和 单纯 地 基于 组 签 
名 的 匿名 认证 的 确认 时 间 分 别 是 (3 n) Tu + (4 n) Tog) +57, ;和 3n7,,, + 
4n7T,_1+5n7,,_;。 因 为 Ti, 比 7,,_1 和 7 : 占 更 大 的 比重 ， 本 章 按照 参考 文献 
[15] H T, E 4. 5ms, 并 且 在 图 4-4 中 进行 比较 。 从 图 中 可 以 看 出 , n 越 大 ， 
本 章 提 出 的 匿名 认证 比 单纯 的 CSB 匿名 认证 更 有 效 。 


400 T T T T 


TRE TOEO OE PEN 一 一 “单纯 的 GSB || 

















时 间 /ms 


所 需 








图 4-4 所 需 时 间 比 较 


4.3.2 针对 位 置 隐私 的 匿名 集 分 析 
在 上 面 的 KPSD 方案 中 ， 在 路 上 的 每 个 车 辆 都 持 有 一 定数 量 的 假名 ， 然 后 按 
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照 算法 3 描述 的 应 用 PCS 策略 来 保护 位 置 隐私 。 为 了 从 PCS 策略 中 得 到 好 处 ， 
本 章 开 发 了 两 个 匿名 集 解析 模型 来 分 别人 研 究 在 小 的 社交 点 和 大 的 社交 点 上 实现 的 
位 置 隐私 。 





算法 3: RESERVA AER 

始 : 

如 昌 是 小 的 社交 点 “那么 
当 交 通 灯 变 疆 时 ， 车 辆 V, 在 交叉 路 口 停止 。 当 交通 灯 变 绿 时 ，T; 修改 它 的 假名 mr。 









































hn 有 果 是 大 的 社 父 点 那么 
| ER V, 将 车 停 在 商场 附近 的 免费 停 千 场 ， 当 离开 停车 场 时 ，V; BERRE m. 
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Algorithm 3: Pseudonym Changing at Social Spots Strategy 


begin 
if Small social spot then 
A vehicle W stops at road intersection when the traffic light turns red. When the 
| traffic light turns to green, V; changes its pseudonym. 
end 
if Large social spot then 
A vehicle V, stops at a free parking lot near a shopping mall. When leaving the 
| parking lot, V; changes its pseudonym. 
end 





end 


4.3.2.1 小 的 社交 点 的 匿名 集 分 析 

如 图 4-5 所 示 ， 当 交通 灯 变 红 时 ， 一 队 和 车 辆 将 停 在 交叉 路 口 [10] ， 这 时 可 
以 将 交叉 路 口 当 成 是 小 的 社交 点 。 假 设 当 交通 灯 变 绿 时 ， 所 有 的 车 辆 同时 改变 它 
们 的 假名 , 然后 交叉 路 口 变 成 混合 Ko Bit S, 是 停 在 交叉 路 口 的 车 的 数量 ， 那 
么 期 望 的 匿名 集 大 小 是 (ASS) =S, BARR ASS 越 大 ， 在 小 的 社交 点 提供 
的 匿名 性 越 强 。 本 节 针 对 ASS 使 用 小 的 匿名 集 解 析 模 型 来 研究 小 的 社交 点 提供 
的 匿名 级 别 。 

Rit T, =t, FEP t =30s 或 608， 表 示 在 交叉 路 口 固定 的 停车 时 间 。 假 设 车 


辆 到 达 (VA) 交叉 路 口 是 一 个 泊 松 过 程 ，， 是 到 达 间 隔 ， 是 具有 均值 二 的 指数 


分 布 。 夺 是 在 周期 T, 内 车 辆 到 达 交 叉 路 口 的 随机 变量 。 那 么 基于 参考 文献 [23 ] 
和 [24], TE T, =t, X =x 的 概率 可 以 表示 为 


Pr| X =xlT, =t] DV (4.8) 


并 且 期 望 的 X 的 数量 可 以 通过 下 式 计算 . 
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4-5 在 交叉 路 口 进行 假名 修改 


E[XI T, =t] = MxPr[X = x10 T, =t] = At (4.9) 
当 交 通 灯 变 绿 后 ， 所 有 的 车 辆 都 会 离开 交叉 路 口 ， 如 果 所 有 的 车 辆 都 服从 
PCS RIG, ABA ASR ASS 是 
ASS =S, =E[XIT =t] =At (4. 10) 
4.3.2.2 大 的 社交 点 的 匿名 集 分 析 
如 图 4-6 所 示 ， 大 的 社交 点 可 能 是 商场 附近 的 免费 停车 场 [19] ， 因 为 停车 
场 中 通常 会 有 很 多 的 车 辆 ， 并 旦 每 辆 车 根据 自己 的 意愿 随机 地 离开 停车 场 ， 如 果 
所 有 的 车 在 停车 场 内 修改 它们 的 假名 并 在 随机 时 间 内 离开 停车 场 ， 那 么 这 样 的 一 
个 停车 场 自然 就 变 成 了 混合 区 。 这 种 行为 可 以 混乱 到 达 车 辆 和 离开 车 辆 的 关系 ， 
因此 可 以 实现 用 户 的 位 置 隐私 。 


HHHH HH H HB 
HBB BBBBH B 
Bang Ban 


大 的 社交 点 
到 4-6 在 停车 场 的 假名 修改 
假设 S, 是 车 辆 准备 离开 时 停车 场 里 的 车 辆 数量 ,那么 匿名 集 尺寸 表示 为 
ASS = 5S,。 本 节 针 对 ASS 提出 了 匿名 分 析 模 型 来 研究 在 大 社交 点 情况 下 能 提供 的 
匿名 级 别 。 
对 于 已 经 进入 到 商场 附近 停车 场 的 车 辆 了 修改 假 和 名， 时间 周期 7, 是 从 商场 
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商场 并 门 时 间 r y Bir 


pete? 2 


à — 






















^ A on / Kad Vs 

BUF BUF BUE BUF BUE 

图 4-7 时 间 图 示 (假设 初始 时 在 停车 场 没 有 车 ) 

开门 的 时 间 如 8: 00 到 车 辆 Mui POUR 如 图 4-7 aN, T, 是 指数 分 


布 的 ， 具 有 密度 函数 /(1) 、 均值 mh i 拉 斯 转换 J* (6) = (CH), md 























面 ， 其 他 车 辆 根据 自己 的 意愿 进入 /离开 个 车场 例如 驾驶 人 可 以 决定 车 辆 停 在 
停车 场 中 的 时 间 和 时 长 。 假 设 车 辆 到 达 停 车 场 (VA) 符合 泊 松 过 程 , t, 是 到 达 


间隔 , t, 是 指数 分 布 ， 均值 为 一。 另外 车 辆 到 达 停 车 场 到 离开 停车 场 的 时 间 间 隔 














1, BEC SERE RR A C), 均值 和 拉 普 拉 斯 转换 f(s) 。 假 设 蕊 是 在 时 间 周 期 
T. 内 到 达 停车 场 的 随机 变量 ， ETETE eens 
ber ene D ， 对 于 1 宇 0， 可 以 得 到 ， 








Pr[ X =x] = [PX sab4 esi 


-pegno 


= (A) re a (4.11) 
A* df (s 
7 Gc» s iU 
0A 
(wt ay 
JF HLHg2B X 的 数量 可 以 按照 下 式 计算 
-Yamux =x] = (4.12) 


假设 x 是 车 辆 V 到 达 停车 场 后 到 修改 假名 离开 停车 场 的 时 间 周期 因为 7 
是 指数 分 布 的， 针对 分 布 x 的 密度 函数 o(X) 可 以 表示 为 
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ox) =m] fd =al -FO]| = ue (4. 13) 

ET 周期 内 ， 在 车 辆 了 离开 前 很 多 车 辆 可 能 会 离开 ， 即 1, <x， 而 其 他 车 在 

V 之 后 离开 ， 即 1,>x。 假 设 Y 是 在 V 之 前 离开 停车 场 的 车 辆 数量 ， 那 么 概率 Pr 
[Y=ylX=x] 可 以 表示 为 


Pr[Y=ylX=x] = M «x])'(CPr[ 1, 2y])*7 (4. 14) 
然后 ， 概 率 Pl >X] 可 以 表示 为 ， 
Piu, my] = |  uehdef, Cr) dt, 








= a 7e dt, in 
=1- [foe =1 -fi (u) 
JF H. Pr[ t, «y ) TELA Pr[ t, zy ] 53 
Pr[t, <x] 21 - Pr(t, y] 21 - (1 -f° (u)) =f? (u) (4. 16) 
x (4.14) 可 以 表示 为 
PM I ur (u)) (1 - f£ (ua)? (4.17) 


那么 期 望 的 了 的 数量 可 以 表示 为 
E[Y] = Y Y iyPsY = yl X e a]Pe[X = x]! 


] Xx Ju: cov a epe) dee 


x= y 
ne 
x Em ow 
所 以 ， 针 对 车 辆 了 的 假名 修改 的 期 望 的 匿名 集 尺 寸 ASS 可 以 表示 为 
ASS = S, = E[X] - E[Y] 
_A_¥ : x *(y))* — f*(u))** 
s EU XX)eova-co»7] | ea 
uà“ 
x [al 
目前 在 很 多 真实 场景 [23] 的 建 模 中 都 使 用 了 指数 分 布 ， 因 此 本 节 假 设 
符合 指数 分 布 。 那 么 ， 拉 普 拉 斯 变换 了 (uw) 变 成 
fw) =[ M ) (4.20) 


w +u 

















最 后 , B us, 可 以 表示 为 
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sez EUG zT 




















Eb AS (4.21) 
~ 7 worvscEXV di ree 

A wà  _ A 

u plotu) wtp 


4.3.3 PCS 策略 的 灵活 性 分 析 


在 上 面 的 匿名 集 分 析 中 ， 假设 所 有 车 辆 都 改变 了 它们 的 假名 ， 本 节 将 采用 简 
化 的 博弈 论 方法 来 证 明 PCS 策略 的 可 行 性 ， 即 证 明 每 辆 车 是 可 以 通过 在 社交 点 
改变 假名 实现 其 位 置 隐私 的 。 

假设 在 社交 点 的 匿名 集 尺 寸 ASS 是 N=n+1， 其 中 n=0， 可 以 通过 上 面 的 
匿名 集 分 析 估 算出 来 。 本 节 将 研究 所 有 车 辆 的 隐私 保护 得 到 保护 的 合理 场景 。 在 
社交 点 ， 每 辆 车 VV，1<j<N 有 两 个 可 能 的 动作 : 修改 (C) 假名 的 概率 为 户 ， 
保持 (K) 假名 的 概率 为 1 -po WMR V, 在 社交 点 保持 其 假名 ， 那 么 它 被 跟踪 的 
概率 为 1。 然 后 V 的 位 置 隐私 丢失 是 不 能 更 改 的 ， 并 且 这 个 行为 的 后 果 可 以 用 标 
准 化 的 位 置 隐私 丢失 - d, RIR, FEP de (0,1) 是 V, 对 位 置 隐私 重要 性 的 自 评 
舍 。 另 一 方面 ， 当 VV 在 社交 点 修改 了 它 的 假名 的 同时 ， 有 其 他 车 辆 也 做 了 相同 
的 工作 ， 那 么 匿名 集 尺 寸 将 变 为 $。 在 这 个 社交 点 之 后 ,，V 仍然 被 跟踪 的 概率 为 


了 。 这 种 情况 下 ， 位 置 隐私 的 丢失 将 减少 到 -S 假设 ce (0,1) 是 站 修改 假名 




















所 需 的 正常 的 成 本 ， 那 么 这 个 行为 的 后 果 是 - 委 - C;。 对 于 所 有 车 辆 ， 假 设 p。 
是 所 有 概率 1p,11 SiS N ijl RUME, WA V, 准备 在 社交 点 修改 其 假名 时 ， 
它 可 以 信 算 出 平均 匿名 集 的 下 限 为 

s= $ (") p+ =p) G41) 


=np, +1 
作为 结果 ， 车 辆 V 的 支付 函数 可 以 总 结 > 
d, ] 
Pade x p a MaE (4.22) 
-qd;， 如 果 是 动作 
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因为 车 辆 V, 是 合理 的 并 且 它 的 目标 是 保护 它 的 位 置 隐私 ， 因 此 V, 在 社交 点 
修改 其 假名 的 条 件 是 : 





MP nd; 
np, +1 

在 采用 的 KPSD 方案 中 ， 所 有 车 辆 自己 生成 和 管理 它们 的 假名 。 如 果 它们 在 
旅行 前 能 够 生成 足够 多 的 假名 ， 那 么 修改 假名 的 开销 会 非常 低 。 不 过 当 m ,为 0 
mt, st (4.23) 将 不 成 立 ， 即 当 周围 没有 车 辆 修改 假名 时 ，V 同样 不 修改 它 的 
BA, FB n, CT OBL, V, 总 是 可 以 减少 开销 6， 使 6 < Pall. 然后， 


np d 





cj > 一 d,—c; < 


ee 
pe (4. 23) 





m 


可 以 主动 地 在 社交 点 修改 它 的 假名 。 本 节 定 义 每 个 车 辆 V 的 位 置 隐私 增益 
(LPG) 函数 为 








LPG d; ( d NP m d 
j^ «1 S d) yd 


LPG, 从 p, 角度 看 是 递增 函数 。 当 p,, =1 时 ， 即 所 有 车 辆 在 社交 点 修改 假 


4, LPG, 可 以 达到 最 大 的 收益- 也 -dj = FD. dj。 因 为 每 辆 车 是 合理 地 最 
大 化 其 位 置 隐私 收益 ， 因 此 当 它 们 都 修改 假名 时 是 双赢 的 。 作 为 结果 PCS 策略 


的 灵活 性 在 实践 中 是 可 以 证 明 的 。 

















4.4 性 能 评估 


本 节 将 评估 PCS 策略 能 够 实现 的 位 置 隐私 级 别 。 特 别针 对 匿名 集 大 小 
(ASS) 和 位 置 隐私 收益 (LPG) 进行 仿真 来 比较 不 同 的 参数 对 性 能 指标 的 影响 。 
本 节 的 仿真 是 用 C+ + 实现 的 基于 离散 事件 仿真 ， 在 两 个 场景 (小 社交 点 和 大 社 
交点 ) 下 的 仿真 参数 见 表 4-1。 对 于 每 个 情况 使 用 不 同 的 随机 种 子 重复 仿真 100 
次 并 且 在 95% 置信 区 间 内 计算 平均 值 。 此 外 ， 本 节 将 仿真 结果 (OH Sim 来 表示 ) 
与 数值 结果 (表示 为 Ana) 进行 比较 来 验证 本 章 提出 的 分 析 模 型 。 

表 4-1 PCS 仿真 参数 





























参数 取 值 
7,: 在 小 社交 点 的 时 间 周 期 30 、60s 

V/A: 在 小 社交 点 [2,4,6,8,10,12]s 

l/u; 在 大 社交 点 的 7 均值 [1,2,…,10]h 

1/A: 在 大 社交 点 [2,4,6]min 

l/o; 在 大 社交 点 [ 10,20, ,…90] min 

di: 车 辆 对 位 置 隐私 重要 性 的 自 评估 正常 的 
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本 节 首 先 验证 在 小 社交 点 实现 的 位 置 隐私 级 别 ， 即 当 交 通 灯 变 红 时 交叉 路 口 
的 情况 。 针 对 低 流 量 的 交叉 路 口 和 高 流量 的 交叉 路 口 ， 停 止 时 间 T, 分 别 是 30s 
和 60s。 图 4-8 显示 了 ASS 和 LPG Bii 1/A M 2s 增加 到 10s 的 变化 。 从 图 中 可 以 
看 出 ASS 和 LPG 随 着 1/A 增 大 而 减少 ， 这 是 因为 随 着 1/4 增 大 ， 当 交叉 路 口 的 
交通 灯 变 红 时 ， 在 交叉 路 口 的 车 辆 越 少 ， 导 致 交 叉 路 口 聚 集 的 车 辆 变 少 ， 因 此 
ASS 更 小 ，LPG 较 低 。 此 外 大 的 7 XF ASS 和 LPG 也 有 积极 的 影响 。 












































Oo T=30s (Sim) 
| 一 一 :=30s (Ana) 


n T=60s (Sim) 2 : 
- - -下 =60s (Ana) 85b AL 人 ~- 





省] 9 %=30s (Sim) 
— 下 =30s (Ana) 
"| e T=60s (Sim) 




















|- - -下 =60s (Ana) 
> 4 8 10 5 4 6 8 10 12 
Was Wig 
a) ASS 利 1 的 关系 b) LPG 和 1/2 的 关系 





图 4-8 在 小 的 社交 点 上 不 同 的 7 下 ASS 和 LPG 5 1/A 的 关系 


因此 ， 为 了 实现 位 置 隐私 的 高 级 别 ， 对 于 车 辆 来 说 ， 高 流量 、 大 的 交叉 路 口 
是 一 个 很 好 的 选择 ， 这 也 符合 基本 常识 。 

评估 在 大 的 社交 点 实现 的 位 置 隐私 级 别 时 ， 本 节 考 虑 购物 中 心 附近 的 免费 停 
车 场 。 参 数 1 人 是 4h， 图 4-9 显示 了 1/ 对 ASS 和 LPG 的 影响 ， 从 图 中 可 以 看 
出 ， 随 着 1/w 增 大 ，ASS 和 LPG 会 增 大 ， 这 是 因为 1/o 越 大 ， 表 示 有 更 多 的 车 
辆 停 在 停车 场 ， 此 外 ， 较 小 的 1/A 也 可 以 使 ASS 更 大 、LPG 更 高 。 因 此 当 车 辆 
在 繁荣 的 购物 中 心 (小 的 1/A 和 大 的 1/9). 附近 的 停车 场 内 修改 假名 时 ， 可 以 
保证 高 的 位 置 隐私 级 别 。 从 图 中 可 以 看 出 ,仿真 和 分 析 结 果 得 到 了 很 好 的 匹配 ， 
这 证 明了 分 析 模 型 的 准确 性 。 

图 4-10 显示 了 参数 1/ 对 ASS 和 LPG 的 影响 。 从 图 中 可 以 看 出 ， 除 了 第 一 
42h, BEA 1/u 的 增加 ，ASS 和 LPG 平稳 增加 。 结 果 表 明 ， 白 天 (在 上 午 或 下 
午 ) 在 大 的 社交 点 车 辆 修改 假名 可 以 得 到 更 好 的 位 置 隐私 ， 在 图 中 仿真 结果 和 
分 析 结 果 间 的 差别 很 小 ， 如 果 进 行 大 量 的 仿真 计算 可 以 进一步 降低 差别 。 
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图 4-9 ”在 大 的 社交 点 情况 下 当 1/=4h 时，ASS 和 LPG 与 1/w 的 关系 








9 =7 min(sim) 
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4 5 6 3 4 5 
1/u/h Vufh 
a) ASS 和 1 的 关系 b)LPG1/4 的 关系 


图 4-10 ”在 大 的 社交 点 1/w =40min 时 ASS 和 LPG 5j 1/ 的 关系 


45 结论 


本 章 提 出 了 通过 有 效 的 社交 点 修改 假名 (PCS) 策略 实现 VANET 的 位 置 隐 
私 的 方案 ， 同 时 也 提出 了 两 个 匿名 集 分 析 模 型 ASS 对 实现 的 位 置 隐私 级 别 进行 
了 分 析 ， 并 用 博弈 论证 明 其 可 行 性 。 此 外 ， 本 章 还 引入 了 一 个 实用 的 KPSD 模型 
来 减轻 汽车 盗窃 造成 的 危害 。 众 所 周知 ， 其 他 以 前 报道 的 基于 混合 区 域 的 假名 修 
改 方 案 是 通过 仿真 来 评估 能 实现 的 位 置 隐私 的 水 平 的 ， 因 此 本 章 的 社交 点 位 置 隐 
私 的 分 析 模 型 可 以 使 读者 能 更 清楚 地 了 解 该 研究 领域 。 
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5.1 概述 


随 着 技术 的 进步 ，VANET 使 道路 安全 的 前 景 更 光明 ， 同 时 人 们 对 个 人 信息 
的 安全 和 隐私 的 保护 越 来 越 重视 ， 车 辆 通信 网 络 中 的 安全 与 隐私 保护 问题 是 必须 
要 解决 的 问题 。 首 先 ， 消 息 完整 性 的 实现 可 以 保证 对 手 无 法 算 改 车 辆 发 送 的 消 
息 ; 其 次 ， 网 络 应 当 对 信息 发 送 者 进行 认证 ， 以 防止 模拟 攻击 ; 此外，VANET 
还 必须 解决 隐私 问题 ， 否 则 车 辆 的 身份 、 位 置 和 运动 轨迹 都 会 暴露 给 第 三 方 。 

目前 有 很 多 研究 [1-4] 已 经 解决 了 VANET 中 的 安全 和 隐私 保护 问题 ， 虽 
然 这 些 现 有 的 解决 方案 已 经 能 够 满足 不 同 的 安全 和 隐私 保护 需求 ， 但 是 它们 并 没 
有 考虑 方案 的 可 伸缩 性 和 安全 机 制 带 来 的 通信 开销 。 在 VANET 中 ， 和 车 辆 验证 周 
围 车 辆 发 来 的 消息 的 签名 有 严格 的 时 间 要 求 ， 尤 其 是 当 车 辆 密度 增加 时 这 个 问题 
会 更 严重 。 更 重要 的 是 由 于 消息 附加 了 消息 签名 和 公 钥 证 书 ， 导 致 包 长 度 显著 增 
加 ， 因 此 ， 确 保 VANET 安全 时 这 些 密码 操作 会 带 来 很 高 的 计算 和 通信 开销 。 下 
面 四 章 将 采取 车 辆 和 RSU 共同 努力 的 合作 方式 解决 上 述 问 题 ， 确 保 车 辆 的 安全 
性 和 隐私 通信 。 

图 5-1 描述 了 VANET 的 基础 设施 ， 它 主要 包括 两 种 类 型 的 节点 : 车 辆 和 路 
边 单元 (RSU) 。 车 辆 通常 配备 一 些 无 线 通信 设备 ， 称 为 车 载 单元 (OBU), € 
们 之 间 可 以 相互 通信 或 者 与 RSU 通信 。RSU 装备 在 道路 基础 设施 的 关键 点 上 
(例如 在 交叉 路 口上 ) ， 为 车 辆 提供 无 线 履 善 内 的 无 线 接 口 。 更 重要 的 是 RSU 通 
常 拥有 丰富 的 资源 ， 包 括 强大 的 计算 功能 和 巨大 的 本 地 存储 ， 这 些 资源 丰富 的 
RSU 能 够 处 理 计算 密集 型 的 任务 ， 因 此 本 章 提 出 的 RSU 辅助 消息 验证 方案 可 以 
让 资源 丰富 的 RSU 帮助 附近 的 车 辆 对 接收 到 的 消息 进行 认证 。 

基于 上 面 的 描述 ， 本 章 提 出 了 RSU 辅助 消息 认证 方案 ， 称 为 RAISE [5]。 
fr RAISE 中 ， 每 辆 车 在 RSU 的 传输 范围 内 接近 RSU 时 ， 都 与 RSU 进行 匿名 认 
证 ， 然 后 建立 RSU 和 车 辆 之 间 的 安全 通道 。RSU 为 每 个 车 辆 分 配 一 个 唯一 的 可 
以 与 其 他 车 辆 共享 的 共享 密 钥 和 伪 ID ， 然 后 车 辆 将 消息 连同 相应 的 密 钥 生 成 的 
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5-1 VANET 基础 设施 





消息 验证 码 (MAC) 发 送 到 相关 的 RSU, RSU 负责 验证 在 其 通信 范围 内 接收 的 
消息 并 将 它们 组 装 成 数据 包 ， 使 用 自己 的 私 钥 进 行 签名 然后 发 送出 去 。 因 此 汽车 
只 需要 验证 来 自 RSU 的 消息 ， 在 这 种 情况 下 只 有 少数 的 公 钥 签名 验证 是 必需 的 ， 
而 且 因为 车 辆 不 需要 采用 不 对 称 的 签名 方案 对 每 个 消息 进行 签名 ， 在 消息 中 没有 
公 钥 证 书 或 消息 签名 ， 因 此 RAISE 协议 不 仅 降 低 了 通信 和 计算 开销 ， 也 消除 了 
运动 跟踪 攻击 。 

本 章 的 5. 2 节 简 要 描述 了 系统 模型 和 假设 、 问 题 和 安全 目标 ; 5.3 节 详 细 描 
ik f RAISE 协议 ; 5.4 节 和 5.5 节 分 别 描述 了 RAISE 的 性 能 评估 和 安全 分 析 ; 
最 后 在 5. 6 节 给 出 了 结论 。 








5.2 系统 模型 和 预备 知识 


本 节 主 要 描述 VANET 系统 模型 、 系 统 假设 和 安全 需求 。 
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5.2.1 系统 模型 


VANET 网 络 有 两 个 层次 ， 上 层 由 应 用 程序 服务 器 (AS) 和 路 边 单元 
(RSU) 组 成 ， 如 图 5-2 所 示 。AS 可 以 与 RSU 通过 安全 通道 连接 ， 如 在 有 线 或 
者 无 线 连接 上 采用 传输 层 安全 (TLS) 协议 建立 安全 连接 。AS 为 RSU 提供 应 用 
程序 数据 ，RSU 作为 网 关 将 数据 传递 给 底层 。 下 层 由 RSU 和 车 辆 组 成 ， 本 书 解 
决 下 层 的 安全 问题 。 


EJ 
应 用 服务 器 







通信 技术 


一 之 IEEE 802.11p 
一 一 有 线 连接 








图 5-2 网 络 模型 


5.2.2 假设 


根据 上 述 的 系统 模型 ， 本 章 有 以 下 的 合理 假设 : 
1) RSU 是 可 信 的 ， 但 是 不 能 是 被 资 用 的 RSU， 该 RSU 具有 比 车 辆 更 高 的 计 


2) RSU 最 好 能 覆盖 所 有 道路 ， 但 它 并 不 一 定位 于 车 辆 密度 很 高 的 点 〈 如 十 

字 路 口 ) (传统 的 基于 公 钥 的 安全 协议 可 用 在 密度 较 低 的 道路 上 ， 因 为 这 样 的 场 

景 下 采用 基于 公 钥 的 密码 系统 来 保证 VANET 的 安全 ， 其 可 伸缩 性 和 通信 开销 问 
题 变 得 不 那么 严重 ) 。 

人 
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3) RSU 的 无 线 通 信和 范围 可 以 是 汽车 的 两 倍 。 
5.2.3 问题 描述 


当前 针对 VANET 安全 进行 的 IEEE 试验 使 用 的 标准 [6] 提供 了 详细 的 包括 
密码 机 制 选择 的 文档 ， 为 了 验证 消息 的 发 送 者 和 保证 消息 的 完整 性 ，OBU 和 
RSU 在 发 送 消息 之 前 应 该 用 私 钥 对 消息 进行 签名 。 图 5-3 显示 了 参考 文献 [6] 
给 出 的 签名 的 消息 格式 。 从 中 可 以 看 出 每 69Byte 的 交通 消息 都 要 携带 125Byte 的 
证 书 和 56Byte 的 ECDSA 签名 ， 显 然 加 密 开销 (证书 和 签名 ) 占用 了 数据 包 的 很 
大 一 部 分 大 小 。 



























































协议 版 本 | ”类 型 消息 WE (包括 类 型 ) 签名 
(1Byte) (1Byte) (67Byte) (126Byte) (S6Byte) 
Y di Y * 
69Byte 182Byte 





图 5-3 签名 消息 的 格式 


密码 操作 对 于 希望 使 用 这 些 消息 的 接收 者 来 说 也 是 很 高 的 计算 负担 ， 根 据 
DSRC [7] 的 定义 ， 车辆 在 100 ~300ms 内 发 送 消息 ， 每 100ms 产生 签名 对 于 当 
前 的 基于 公 钥 的 签名 方案 来 说 不 是 问题 。 然 而 当 通信 范围 内 有 50 ~ 200 辆 汽车 
时 ， 接 收 者 每 秒 需要 验证 500 ~2000 条 消息 ， 公 钥 证 书 有 时 必须 被 验证 ， 符 名 和 
验证 每 个 消息 可 以 实现 安全 通信 ， 但 是 这 些 密码 操作 使 安全 协议 不 能 根据 交通 密 
度 进行 伸缩 ， 因 此 验证 算法 必须 非常 快 ， 这 样 才 可 以 将 接收 到 的 消息 进行 处 理 ， 
以 保证 有 限 的 信息 损失 。 但 是 当前 所 有 的 基于 公 钥 基础 设施 (PK) 或 组 签名 的 
VANET 签名 方案 不 能 满足 这 个 严格 的 时 间 要 求 。 

更 重要 的 是 ， 现 有 的 基于 PKI 的 安全 协议 不 能 满足 位 置 隐私 的 要 求 。 为 了 便 
于 说 明 ， 本 节 只 使 用 公 钥 作为 假名 ， 即 使 公 铀 不 包含 真实 身份 信息 并 且 频 繁 更 
新 ， 任 何 车 辆 的 运动 路 径 还 是 可 以 很 容易 地 被 恶意 的 全 面 的 消息 观察 员 追 踪 ， 这 
是 因为 每 个 公 钥 有 几 分 钟 [2] 的 生成 周期 ， 并 且 不 同 的 车 辆 在 不 同 的 时 间 更 新 
其 公 钥 ， 因 此 在 特定 时 间 上 修改 的 公 铀 肯定 是 从 在 上 时 刻 前 使 用 不 同 的 公 钥 的 同 
一 个 源 发 出 的 ， 因 为 其 他 车 辆 所 使 用 的 公 钥 在 上 时 刻 前 后 保持 不 变 。 通 过 这 种 方 
式 ， 同 样 车 辆 发 送 的 消息 可 以 产生 连接 ， 因 此 整个 车 辆 的 运动 轨迹 可 以 被 追溯 。 
换 句 话说 ， 如 参考 文献 [8] 所 述 ， 简 单 地 使 用 假名 和 修改 假名 是 不 足以 防止 车 
辆 被 跟踪 并 提供 不 可 链接 性 的 。VANET 中 因为 车 辆 不 断 广 播 包 括 车 辆 位 置 在 内 
的 交通 有 关 的 信息 ， 将 车 辆 的 旧 的 假名 和 新 的 假名 没有 任何 类 型 混合 [4] 地 进 
行 连接 是 不 重要 的 。VANET 需要 一 种 让 车 辆 合作 共同 修改 它们 的 假名 的 方法 ， 
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并 且 需 要 一 段 短暂 的 静止 期 ， 即 车 辆 停止 广播 到 同时 恢复 广播 的 时 间 间 隔 。 
5.2.4 安全 目标 


为 了 解决 上 面 提 到 的 问题 ， 本 节 提 出 以 下 安全 目标 。 

消息 完整 性 和 源 认 证 : 所 有 消息 在 传输 过 程 中 应 该 是 不 变 的 。 同 时 消息 的 来 
源 应 该 被 验证 ， 以 确保 接收 的 数据 来 自 合 法 的 源 而 不 是 来 自 欺 骗 的 源 ， 以 抵御 模 
拟 攻击 。 

较 小 的 通信 开销 和 快速 验证 ， 安 全 协议 应 该 是 有 效 的 ， 并且 具有 和 较 小 的 通信 
开销 和 可 接受 的 处 理 时 延 。 大 量 消 息 的 签名 验证 应 该 在 短 时 间 内 完成 。 

身份 隐私 保护 ， 车 辆 的 吴 份 在 认证 过 程 中 应 该 对 正常 的 消息 接收 者 隐藏 ， 以 
保护 发 送 者 的 私人 信息 ， 如 位 置 、 车 牌号 码 和 运动 轨迹 。 

标识 可 追溯 性 : 在 特殊 情况 下 〈 如 责任 调查 中 ) ， 标 识 应 该 能 够 被 识别 。 例 
如 法 律 授 权 机 构 可 能 需要 发 现 消息 发 送 者 的 身份 来 帮助 找到 目击 者 或 确定 事故 的 





























起 因 。 
位 置 隐 私 保护 : 对 手 不 能 将 在 不 同 的 地 方 发 送 的 多 个 消息 进行 链接 而 导致 车 
辆 的 轨迹 被 跟踪 。 





防止 内 部 攻击 : 持 有 自己 的 密 钥 介质 的 正常 车 辆 不 能 跟踪 其 他 车 辆 的 轨迹 。 


5.3 RSU 辅助 的 消息 认证 方案 


5.3.1 概述 


本 节 简 要 对 RSU 辅助 的 消息 认证 方案 (RAISE) 进行 描述 。 

RAISE 主要 目标 是 : 与 以 前 只 考虑 车 车 (V2V) 通信 的 消息 身份 验证 方 
案 [2, 3] 相 比 ，RAISE 利用 VANET 的 特点 使 用 RSU 帮助 车 辆 进行 身份 验证 信 
息 ; 不 像 基于 公 钥 的 消息 身份 验证 方案 那样 使 用 非 对 称 计算 对 消息 进行 签名 ， 
RAISE 采用 基于 密 钥 散 列 消息 验证 码 (HMAC) 的 对 称 加 密 方案 对 消息 进行 
认证 。 

TE RAISE 方案 中 ， 当 在 附近 检测 到 RSU 时 ， 车 辆 与 RSU 相关 联 ， 然 后 RSU 
为 每 辆 车 分 配 一 个 不 同 的 对 称 密 钥 。 在 RSU 覆盖 范围 内 的 车 辆 使 用 对 称 MAC 代 
码 而 不 用 基于 PKI 的 消息 签名 。 车 辆 接收 到 其 他 车 辆 发 出 的 消息 不 能 马上 确认 这 
些 消息 的 真实 性 ， 然 而 它们 可 以 从 RSU 接收 通知 以 验证 这 些 消 息 的 真实 性 。 因 
为 RSU 知道 与 车 辆 共享 的 MAC 加 密 密 钥 ， 因 此 RSU 可 以 验证 消息 的 真实 性 。 在 
这 种 情况 下 ， 如 果 附 近 没 有 RSU， 那 么 车 辆 使 用 传统 的 基于 PKI 的 方案 签名 并 验 
证 消息 。 本 章 只 考虑 有 RSU 的 场景 ， 并 详细 描述 了 RAISE 方案 。 为 了 便于 描述 ， 
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表 5-1 中 描述 了 本 章 使 用 的 符号 。 
表 5-1 RSU 辅助 消息 认证 方案 使 用 的 符号 

































































符 d — xk 
R 第 i 个 RSU 
V 第 i 个 车 辆 
Mj V, 发 出 的 消息 
K V, 和 RR; 之 间 的 共享 密 钥 
ID, R 4r eft V; 的 假名 
U 实体 ， 可 能 是 RSUR 或 者 车 辆 V, 
PK, U 的 公 钥 
SK, U 的 私 钥 
Cy U 的 证 书 
{MI SKy 针对 M B3 U 的 数字 签名 
H(. ) 单 向 哈 希 函数 ， 例 如 SHA -1 
HMAC(. ) 密 钥 哈 希 消息 认证 码 
I: 消息 串联 操作 ， 用 特定 的 格式 将 一 些 消 息 连 在 一 起 












































5.3.2 RSU 和 车 辆 之 间 的 双向 认证 和 密 钥 协商 


当 车 辆 V, 检测 到 RSU R, 的 存在 (例如 通过 RR, 的 hello HL), V; REEM R, 
的 双向 认证 过 程 并 建立 共享 密 钥 ， 该 过 程 通过 采用 Diffie - Hellman 密 钥 协 商 协议 
[9] 完成 基于 公 钥 签名 方案 帮助 抵御 中 间 人 (MITM) 攻击 。 双 向 认证 和 密 钥 协 
议 流程 如 下 所 示 : 





VR ig", {8°} SKy,, Cy, 

R—V,:ID, | g^, (1D; | g" ll g^ | SK, Ce 

VR: |g" | SKy, 
式 中 ，g" Fil g^ 是 Diffle - Hellman 密 钥 协商 协议 的 元 素 ; R, AV, 之 间 的 共享 密 钥 
fe Ke". “UAV, 收 到 第 一 个 消息 时 ，R; 可 以 认证 VV 的 公 钥 证 书 C, ， 成 功 验证 
Ja, R, 可 以 从 证 书 GC 获得 V, 的 公 钥 PK ， 然 后 使 用 PK, UGE g“ 的 签名 |g" } SK,。 
FAR WIT, V, 验证 R,. 如 果 上 述 三 个 过 程 通过 ， 那么 双向 身份 验证 成 功 。 同 
时 ,在 第 二 步 中 ，R, 为 车 辆 V 分 配 一 个 伪 标 识 ID,， 该 伪 ID, 唯一 地 与 天 关联 
(为 了 保护 隐私 ， 车 辆 不 能 有 唯一 的 伪 ID ， 这 种 情况 将 5.3.5 小 节 中 讨论 。 为 便 
于 描述 ， A RRE T E 的 伪 ID), 38: ID,, R, 可 以 知道 哪些 车 辆 发 
送 了 消息 ， 可 以 通过 共享 的 对 称 密 钥 进一步 验证 消息 的 真实 性 ， 因 此 R, 在 本 地 
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数据 库 维 护 了 一 个 ID 密 钥 表 ， 见 图 5-4a。 当 车 辆 出 了 RSU 的 覆盖 范围 ， 车 辆 更 
新 它们 的 匿名 证 书 ， 例 如 车 辆 选择 新 的 公 钥 / 私 钥 对 [2] 对 消息 进行 签名 。 在 
图 5-4a rh, T; 表示 RR 从 V, 收 到 的 最 后 一 个 消息 的 时 间 ，7, 用 于 确定 记录 的 新 鲜 
度 。 如 果 R 的 当前 时 间 和 7 之 间 的 间隔 超出 了 预先 定义 的 国 值 ， 那 么 对 应 于 7 
的 记录 将 从 D 密 钥 表 中 删除 并 存储 到 用 于 追溯 目的 的 跟踪 证 据 表 中 ， 见 图 5- 
4b。 图 5-4b 中 的 LT, 是 用 来 控制 跟踪 证 据 的 保存 的 时 长 ， 在 现实 中 该 时 间 是 由 
权威 机 构 决 定 的 ， 远 远大 于 图 5-4a 的 7,。 跟 踪 过 程 的 细节 将 在 下 一 节 中 讨论 。 
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a) ID - 密 钥 表 b) 跟踪 证 据 表 





为 了 RSU 可 以 快速 地 定位 与 伪 ID 对 应 的 数据 ， 提 高 搜索 和 查询 速度 ， 需 要 
为 这 两 个 表 建 立 索引 。 


5.3.3 ERRES 


HER V, 从 RSU R 得 到 对 称 密 钥 K, Je, V; 可 以 使 用 KK, 对 ID, || M, || TS; 计 
算 消 息 认证 码 MAC, (ID, | M; | TS,), Fir ID, 是 RR 分 配给 V 的 伪 标 识 ，M, 是 发 
EAA, TS, 是 发 送 消 息 M, 的 当前 时 间 戳 ， 用 来 防止 重 放 攻 击 。 然 后 V, 一 跳 
广播 1D, || M, || TS, | MAC (ID, | M; | TS,). HX K, 只 有 及 和 站 知道， 因此 只 
RAVE Mi。 另 外 ， 为 了 使 其 他 车 辆 也 能 够 验证 M, 的 真实 性 ， 同 时 减少 通信 
开销 ，RSU R 负责 将 多 个 认证 的 消息 聚合 在 一 个 数据 包 中 并 发 送出 去 。 详 细 的 过 
程 如 下 所 示 : 

1) R 检查 当前 时 间 和 届 发 送 最 后 一 个 消息 认证 通知 包 的 时 间 之 间 的 间隔 是 
否 小 于 预定 义 的 阀 值 A， 如 果 是 ， 执 行 步 又 2) ， 否 则 执行 步骤 4) 。 

2) SRE V; 发 来 的 消息 (ID, || M; || TS; || MAC, (ID, || M; || TS;)) 
时 ， 首 先 检查 ID, 是 否 在 RR 的 ID 密 钥 表 中 ， 如 果 是 执行 步骤 3) ， 否 则 执行 步骤 
4) 。 
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3) REH ID, 的 天 验证 MAC, (ID, || M; | TS;), WRAY, RITA H 
CID, | M; 7S,) ， 然 后 执行 步骤 1) ， 否 则 丢弃 该 数据 包 。 

4) RR 聚合 所 有 的 在 步骤 3) PEREA, BI HAggt 2 HCID, | M, || TS, ) || 
H(ID, | M, | TS,) | ++ || HUD, M75,)， 并 且 用 私 钥 SK, 进行 签名 ,然后 R 
在 它 的 通信 范围 内 向 车 辆 一 跳 广 播 (HAggt || | HAggt| SKp) o 

在 上 面 算法 中 的 预定 义 阔 值 Ac 可 能 会 影响 消息 认证 的 时 延 ， 将 在 5.4.2 小 
节 中 分 析 。 另 外 ， 上 述 算 法 支持 标识 追 滴 ， 因 为 在 跟踪 证 据 表 中 密 钥 K, 和 证 书 
Gy 是 一 对 一 的 映射 ，RSU 可 以 分 辨 出 消息 发 送 者 。 男 外 ， 当 恶意 的 车 辆 发 送 假 
的 消息 (例如 过 后 发 现 消息 内 容 是 伪造 的 ) 时 ，RSU 可 以 通过 发 现 证 书 来 妃 湖 
消息 发 送 者 。 同 样 ，RSU 可 以 将 证 书 报告 给 可 信和 的 权威 机 构 (TA) 用 于 进一步 
的 调查 。 


5.3.4 确认 


当 车 辆 收 到 其 他 车 辆 发 来 的 消息 时 ， 只 将 收 到 的 消息 缓存 到 本 地 数据 库 中 ， 
并 不 马上 进行 确认 。 缓 存 的 记录 按照 下 面 的 格式 记录 M, ID,, TS,, H (ID, 
| M, ||| TS,), FE"? ACID, || M; || TS,) 由 接收 者 计算 。 一 旦 车 辆 从 RSU 获得 了 签 
名 的 数据 包 ( HAget || | HAget| SK,), RAT MRI PET OAT. É 
先 ， 车 辆 使 用 RSU 的 公 钥 PK, 确认 签名 | HAget| SK,, WRAN, AP 
对 比 去 聚合 后 的 消息 与 缓存 记录 之 间 的 匹配 性 来 检查 本 地 数据 库 中 缓存 的 收 到 消 
息 的 有 效 性 ， 例 如 V, 检查 从 HAget 中 得 到 的 HCD, || M, || 7S,) 是 否 已 经 之 前 缓存 
在 本 地 数据 库 了 ， 如 果 是 ，M, 是 有 效 的 ， 否则，V, 将 检查 是 否 M, 在 下 一 个 
HAggt 数据 包 中 。 如 果 H(ID, || M, || 75,) 在 两 个 成 功 收 到 的 H4ggt 数据 包 中 都 没 
有 出 现 ，M, 被 认为 是 无 效 的 ， 之 所 以 对 HCID, || M, || 75,) 采 用 两 次 检查 的 方式 ， 
ERM V, 收 到 RSU 发 来 的 第 一 个 HAger 数据 包 时 ，RSU 可 能 还 没有 将 消息 M, 
聚合 。 另 外 ， 车 辆 需要 能 够 确认 所 有 邻近 车 辆 发 来 的 消息 ， 这 意味 着 车 辆 收 到 的 
所 有 消息 其 对 应 的 RSU 也 应 该 收 到 。 但 是 如 果 RSU 和 车辆 之 间 的 通信 或 者 RSU 
到 车 辆 的 通信 (RVC) 5 IVC 有 着 相同 的 距离 限制 ,那么 车 辆 将 丢失 和 RSU 之 
间 不 在 有 效 距离 内 车 辆 发 出 的 消息 ， 如 图 5-5 所 示 ， 假 设 RVC 的 距离 限制 是 7， 
RSU 可 以 和 车 辆 V... V, 通信 ， 因 为 VV 没 有 和 RSU HRK, IA V 不 能 确认 V, 
发 出 的 消息 ， 即 使 两 辆 车 可 以 通信 。 为 了 克服 这 个 问题 ， 本 书 认为 RVC 的 距离 
限制 是 IVC 的 2 倍 。 因 为 GPS 坐标 包括 在 车 辆 消息 中 ， 因 此 车 车 之 间 和 RSU 与 
车 辆 之 间 的 距离 可 以 根据 GPS 坐标 得 到 。 


5.3.5 隐私 扩展 
fr RAISE 方案 中 ， 如 果 车 辆 在 关联 期 间 不 修改 它 的 伪 ID， 那 么 根据 车 辆 不 
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变 的 ID ， 其 移动 轨迹 有 被 跟踪 的 风险 ， 因 此 在 短 时 间 内 车 辆 的 轨迹 隐私 可 能 被 
侵犯 o 

为 了 保护 轨迹 隐私 ， 本 书 在 RAISE 方案 中 采用 了 上 天 匿名 的 概念 (天 个 实体 不 
能 被 分 辨 ) [10] 来 混合 WZ. TE RAISE 方案 中 ，RSU Wk 辆 车 分 配 一 个 伪 
ID, 大 辆 车 作为 一 组 使 用 同一 个 伪 ID 和 RSU 通信 ，ID - 密 钥 表 如 图 5-6 所 示 。 
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图 5-6 天 匿名 RAISE 方案 的 ID BEA 


当 对 手 试图 通过 伪 ID 来 跟踪 特定 的 车 辆 时 ， 在 一 组 车 辆 通过 交叉 路 口 时 对 
手 会 跟 丢 车 辆 ， 即 特定 车 辆 的 轨迹 不 能 被 标识 。% 的 最 大 值 可 以 是 RSU 覆盖 范围 
内 的 车 辆 的 总 数 ， 这 样 所 有 车 辆 的 消息 都 是 混在 一 起 的 ， 不 能 被 分 辨 。 这 样 的 场 
景 可 以 认为 车 辆 根本 没有 标识 。 

在 匿名 的 RAISE 中 ，RSU 可 以 通过 和 车 辆 共享 的 对 称 密 钥 来 标识 车 辆 ， 
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每 个 伪 ID 对 应 个 唯一 的 对 称 密 钥 。 假 设 车 辆 V; RZD || M; || TS, || MAC, (ID 
| M, || T$)) > 给 RSU R, R 首先 发 现 与 伪 ID 对 应 的 个 可 能 的 密 钥 。 然 后 RR 顺序 
地 检查 MAC, (ID || M, || 75;) EBEFA k IPE HERI MAC, (ID || M, | 
7S,)'， 如 果 匹 配 ， 消 息 被 认为 是 有 效 的 。 

因为 车 辆 与 RSU 的 共享 密 钥 是 不 同 的 ， 做 上 面 比较 工作 的 密 钥 可 以 用 来 发 
现 消息 发 送 者 在 双向 认证 过 程 中 使 用 的 匿名 证 书 。 该 操作 可 以 通过 搜索 RSU 的 
本 地 ID 密 钥 表 来 实现 。 能 够 发 现在 双向 认证 过 程 中 使 用 的 匿名 证 书 可 以 保证 未 
来 ID 的 可 追溯 性 。 

如 果 R 尝 试 了 所 有 可 能 的 个 密 钥 后 两 个 MAC 值 仍 没 有 匹配 ， 消 息 被 认为 
是 无 效 的， 应 该 丢弃 。 在 这 个 过 程 后 ，R 可 以 按照 5.3.3 小 节 描 述 的 步骤 对 消息 
进行 聚合 。 

采用 了 上 匿名 方案 后 ， 确 认 过 程 和 上 面 描述 的 一 样 ， 车 辆 对 比 从 HAggt 中 去 
聚合 后 的 HCD, | M, | TS) 与 缓存 的 HCID, | M, | TS) 记录 之 间 是 和 否 匹 配 。 这 里 ， 
对 比 的 计算 开销 与 参考 文献 [2] 中 的 基于 PKI 方案 的 消息 确认 过 程 相 比 可 以 忽 
WEAN 


5.4 性 能 评估 


本 节 使 用 ns2 仿真 系统 [11] 对 RAISE 性 能 包括 消息 丢失 率 、 消 息 端 对 端 
时 延 和 通信 开销 进行 仿真 ， 并 和 参考 文献 [3] 的 组 签名 方案 和 参考 文献 [6] 
的 标准 的 基于 PKI 签名 方案 进行 比较 。 本 节 模 拟 拥挤 的 交通 场景 ，RSU 位 于 交 
LKO, Æ RSU 的 覆盖 范围 内 有 30 ~ 200 辆 车 。 和 车 辆 之 间 的 距离 从 7.5m (到 
15m 来 模拟 不 同 的 车 辆 密度 。 每 辆 车 的 通信 范围 为 300m) , RSU 的 传输 范围 是 
车 辆 的 2 倍 。 每 300ms 发 送 消息 。 使 用 TEEE802. 11a 作为 MAC 层 传输 协议 ， 如 
参考 文献 [2] 。 信 道 带宽 是 6Mbit/s。 组 签名 确认 时 延 是 11ms，ECDSA 签名 确 
认 时 延 是 3. 87ms，MAC 确认 时 延 是 0. 5ms。 在 仿真 中 所 有 可 能 的 密码 时 间 间 隔 
表示 为 一 样 的 时 延 。 


5.4.1 消息 丢失 率 


X (5.1) 定义 了 平均 的 消息 丢失 率 (LR), HF N 表示 仿真 中 车 辆 的 数 
量 。 对 于 组 签名 和 PK 签名 方案 ，Mi,. 表 示 车 辆 i 在 MAC 层 接收 到 的 消息 总 数 ， 
1 表示 车 辆 ;在 应 用 层 发 出 的 消息 。 对 于 RAISE, ，M, 表 示 在 MAC 层 直接 从 其 
他 车 辆 收 到 的 消息 总 数 ，M, 表 示 RSU 发 出 的 ACID, || M,) 总数 ， 并 且 是 应 用 层 
发 出 的 。 本 节 针 对 组 签名 和 PKI 签名 方案 ， 只 考虑 由 于 安全 协议 造成 的 消息 丢 
失 ， 而 不 考虑 无 线 传输 信道 带 来 的 消息 丢失 。 因 为 RAISE 需要 两 跳 通信 ， 因 此 
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本 书 考虑 在 RSU 和 和 车辆 之 间 无 线 通 信 造 成 的 丢失 。 


N 





= 


LR = 


mM 


1 i i 
N: (MyM rac ) (5.1) 


图 5-7 显示 了 消息 丢失 率 和 交通 负载 (与 RSU 相关 联 的 车 辆 的 数量 ) 之 间 
的 关系 。RSU 每 隔 10ms AWW EREK HOD, || M; | 7S ) 。 从 图 中 可 以 观察 
到 ， 随 着 交通 负载 的 增加 ， 三 个 方案 的 消息 丢失 率 都 会 增加 。 基 于 组 签名 的 方案 
的 丢失 率 最 高 ， 基 于 PKI 的 方案 在 中 间 ， 而 RAISE 方案 有 最 小 的 丢失 率 。 同 样 ， 
从 仿真 中 可 以 看 出 最 多 的 消息 丢失 来 自 于 两 跳 的 无 线 传输 。 
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图 5-7 平均 丢失 率 和 交通 负载 


5.4.2 消息 时 延 


式 (5.2) 定义 了 平均 消息 时 延 (MD), HPN 表示 在 仿真 中 车 辆 的 总 数 ， 

M 表示 车 辆 i 发 出 的 消息 数量 , 天 是 在 ;通信 范围 内 相 邻 的 车 辆 数量 。7 "表示 

车 辆 在 应 用 层 从 车 辆 i 收 到 第 m 个 消息 的 时 刻 。7T%%" 表 示 车 辆 i 在 应 用 层 发 送 
第 m 个 消息 给 车 辆 有 的 时 刻 。 

1 N 1 M K "T "" 

MD = A» apg ds D 0787 = To") (5.2) 

图 5-8 显示 了 消息 时 延 和 交通 负载 之 间 的 关系 ， 组 签名 方案 有 最 高 的 消息 时 

延 ， 该 高 时 延 主 要 是 用 来 确认 消息 签名 。 基 于 PKI 方案 和 RAISE 方案 的 时 延 几 

平一 样 。 因 为 比较 计算 是 非常 快 的 ，RAISE 方案 的 时 延 主 要 是 由 RSU 发 出 数据 

包 的 间隔 决定 的 ， 例 如 在 图 5-6 中 数据 包 发 送 间 隔 是 10ms。 为 了 减少 消息 时 延 ， 

可 以 减少 该 时 间 间 隔 ， 但 是 如 何在 减少 消息 时 延 和 增加 通信 开销 、 在 无 线 通信 
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MAC 层 更 多 的 冲突 中 进行 取舍 将 在 5.4.3 小 节 中 讨论 。 
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图 5-8 平均 消息 时 延 和 交通 负载 


5.4.3 通信 开销 


本 节 首 先 分 别 列 出 参考 文献 [6] 中 的 ECDSA、 参 考 文献 [3] 中 的 组 签名 
和 RAISE 中 的 HMAC 时 延 的 通信 开销 。 对 于 ECDSA 来 说 ， 每 条 消息 由 于 密码 操 
作 引 起 的 额外 开销 是 181Byte， 包 括 证 书 和 ECDSA 签名 ， 如 图 5-3 所 示 。 对 于 组 
签名 方案 ,额外 的 通信 开销 是 184Byte。 

对 于 RAISE 方案 ,额外 的 通信 开销 是 128bit + 128bit + (56 +2)/n Byte, $ 
一 个 128bit 代表 车 辆 发 出 的 HMAC WK BE, 第 二 个 128bit 标识 RSU 发 出 的 
HCID, || M,) 数 据 包 的 长 度 ，56 是 RSU 签署 的 ECDSA 签名 [6] 的 长 度 ，2 是 图 
5-3 所 示 的 消息 头 的 长 度 ， 由 于 RAISE 方案 中 条 消息 只 签名 一 次 ,因此 (56 +2) 
是 由 nn 条 消息 共享 的 ， 其 中 由 车 辆 密度 和 RSU 发 出 的 数据 包间 隔 决定 。 

图 5-9 显示 了 RSU 内 在 1min 内 的 全 部 的 通信 开销 和 交通 负载 的 关系 。 从 图 
中 可 以 看 出 ， 时 间 间 隔 为 10ms AY RAISE 方案 比 基 于 PKI 签名 方案 和 组 签名 方案 
有 很 低 的 通信 开销 ， 而 且 由 RAISE 引起 的 通信 开销 是 基于 PKI 签名 方案 的 
24.94% ， 是 组 签名 方案 的 23. 64% 。 为 了 更 好 地 体现 RAISE 中 时 间 间 隔 的 影响 ， 
图 5-10 显示 了 时 间 间 隔 和 全 部 通信 开销 的 关系 ， 分 别 比较 了 1min 之 内 有 100, 
150, 200 和 250 辆 车 的 情况 。 从 图 中 可 以 看 出 ， 随 着 时 间 间 隔 的 增加 ， 特 别 是 
从 2ms 到 10ms， 通 信 开 销 明显 减少 。 但 是 当时 间 间 隔 是 10ms 或 者 更 大 时 ， 时 间 
间隔 对 通信 开销 的 影响 很 小 。 从 图 5-8 中 也 可 以 看 出 ， 和 车辆 数量 每 增加 50， 通 
信 开 销 大 概 增 加 0. 3MB。 
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通信 


5.5 安全 分 析 


本 节 分 析 了 RAISE 方案 的 安全 性 ， 包 括 消 


击 、 重 放 攻 击 抵抗 和 有 条 件 的 隐私 保护 。 
消 


销 和 时 间 间 隔 








息 完 整 性 、 源 认证 、 预 防 内 部 攻 


息 完整 性 和 源 认证 在 RAISE 方案 中 ， 车 辆 为 每 个 发 起 的 消息 生成 一 个 
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MAC, RA RSU 分 配 了 密 钥 的 车 辆 可 以 生成 MAC， 如 果 敌 人 算 改 了 信息 ，RSU 
无 法 找到 相应 的 确认 密 钥 来 计算 消息 的 匹配 MAC， 因 此 错误 的 信息 将 被 忽略 。 
此 外 ， 对 于 每 个 车 辆 都 有 一 个 唯一 的 密 钥 存储 在 RSU 的 ID 密 钥 表 中 ， 如 果 一 个 
RSU 可 以 找 出 密 钥 来 验证 MAC, RSU 就 可 以 知道 消息 发 送 者 的 身份 ， 对 源 进行 
验证 。 因 为 实现 了 消息 的 完整 性 和 源 认证 ， 因 此 可 以 预防 典型 的 攻击 ， 如 伪造 攻 
击 和 模拟 攻击 [2]. 

预防 内 部 攻击 : RAISE 不 仅 针 对 外 部 攻击 是 强大 的 ， 而且 对 内 部 攻击 也 有 
效 。 即 使 车 辆 受 损 并 且 与 RSU 共享 的 对 称 密 钥 也 暴露 给 对 手 ， 对 手 也 不 能 跟踪 
其 他 车 辆 的 运动 ， 因 为 它 不 能 区 分 与 受 损 车 辆 使 用 相同 的 伪 ID 的 车 辆 ， 因 此 
RAISE 可 以 抵抗 密 钥 受 损 的 模拟 攻击 。 

位 置 隐私 保护 : 如 $. 3. 5 小节 所 讨论 的 那样 ，RAISE 方案 使 用 左 匿名 概念 实 
现 位 置 隐私 。 使 用 相同 的 伪 标 识 的 多 个 车 辆 相 混合 ， 使 攻击 者 无 法 区 别 。 为 了 最 
大 化 匿名 性 ， 所 有 车 辆 可 以 使 用 相同 的 标识 ， 因 此 对 手 不 能 将 位 置 映射 到 一 个 特 
定 的 车 辆 上 ， 也 就 是 说 对 手 无 法 跟踪 一 个 特定 车 辆 的 运动 路 线 。 

重 放 攻 击 抵 抗 : 消息 重 放 攻击 是 指 对 手 为 了 冒充 合法 车 辆 回放 截获 的 消息 。 
显然 在 RAISE 方案 中 这 个 模拟 是 无 法 工作 的 ， 因 为 时 间 戳 TS, 是 附着 在 相应 的 
M, 之 上 的 ， 并 且 所 有 的 车 辆 保持 时 间 同 步 。 假 设 敌 人 截获 消息 《7Zp;, || M, || TS, || 
MAC, (ID, | M; | 75,)), 并 且 在 TS, 启动 了 重 放 攻击 。 因 为 时 间 周 期 
|TS; -TS,| >A7 不 是 一 个 双方 认可 的 传输 延迟 ， 接 收 者 将 拒绝 该 消息 。 因 此 
RAISE 方案 可 以 有 效 地 抵御 重 放 攻 击 。 

有 条 件 的 隐私 保护 : RAISE 方案 使 用 伪 标 识 来 保护 车 辆 的 真实 身份 ， 因 此 车 
辆 的 身份 隐私 可 以 得 到 保护 。 然 而 RSU 能 够 知道 匿名 证 书 和 伪 标 识 的 对 应 ， 并 
且 可 信 的 权威 机 构 可 以 从 匿名 证 书 中 跟踪 车 辆 的 真实 身份 ， 例 如 汽车 V, 发送 一 
个 虚假 的 消息 ， 其 中 包含 RSU 分 配 的 伪 标 识 ID,， 一旦 RSU 发 现 消 息 的 内 容 是 虚 
假 的 ，RSU 可 以 从 跟踪 证 据 表 中 根据 ID; 和 C, 的 唯一 映射 找到 V, 的 匿名 证 书 ， 
见 图 5-4b。 此 外 RSU 给 证 书 Cy 交 给 可 信和 的 有 能 力 从 Cy 中 跟踪 到 V, 真实 身份 的 
权威 机 构 。 因 此 RAISE 方案 车 辆 不 用 互相 告知 自己 的 真实 身份 ，RSU 可 以 区 分 
两 个 消息 是 否 由 同样 的 车 辆 发 出 。 可 信 的 权威 机 构 和 RSU 合作 ， 消 息 发 送 者 的 
真实 身份 是 可 以 跟踪 的 。 




















5.6 结论 


本 章 主要 描述 了 RSU 辅助 的 消息 认证 方案 RAISE, TE RAISE 中 ，RSU 负责 
认证 从 车 辆 发 出 的 消息 ， 并 将 结果 通知 在 其 通信 范围 内 的 所 有 车 辆 。 
RAISE 协议 的 优点 是 小 的 计算 和 通信 开销 ， 同 时 它 还 可 以 保护 车 辆 的 位 置 隐 
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私 。 从 仿真 结果 可 以 看 出 ， 与 基于 PKI 的 方案 和 基于 组 签名 的 方案 相 比 ，RAISE 

有 具 有 最 低 的 消息 丢失 和 通信 开销 。 
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6.1 概述 


第 5 章 讨论 了 RSU 辅助 消息 认证 方案 RAISE， 在 此 方案 中 RSU 负责 认证 从 
车 辆 发 出 的 消息 ， 并 将 认证 结果 通知 给 其 他 车 辆 ， 该 方案 使 用 消息 认证 码 
(MAC) 认证 车 辆 之 间 的 通信 ， 因 此 适用 于 车 辆 通信 。 但 是 该 方案 要 求 RSU 直接 
参与 消息 的 认证 过 程 ， 当 RSU 覆盖 范围 不 够 大 时 ， 该 方案 的 效果 就 大 打折 扣 ， 
特别 是 在 VANET 部 署 的 早期 阶段 。 

本 章 将 研究 在 没有 RSU 直接 参与 的 情况 下 使 用 快速 的 对 称 加 密 算 法 保护 车 
辆 通信 的 方案 。 本 章 采 用 了 通常 用 于 保护 广播 和 多 播 通信 的 TESLA (定时 高 效 
流 丢失 容 奶 认证) 协议 [1] ， 该 方案 只 要 求 接收 方 执行 基于 对 称 加 密 算法 的 
MAC 操作 ， 足 以 完成 认证 消息 来 源 和 确保 数据 的 完整 性 ， 因 此 不 需要 执行 任何 
计算 密集 型 的 非 对 称 验证 操作 。 而 且 每 个 消息 只 需要 附着 一 个 短 的 MAC， 就 可 
以 显著 减少 因 安全 机 制 而 增加 的 消息 长 度 和 带宽 负担 。 另 外 ， 从 丢 包 率 的 角度 来 
说 ， 该 方案 比 任何 其 他 基于 PKL 的 方案 都 要 有 效 得 多 ， 几 乎 与 交通 密度 无 关 。 通 
过 仿真 显示 ， 相 对 于 当前 的 基于 PK 的 安全 方案 ， 该 方案 可 以 明显 地 减 小 丢 包 
率 ， 特 别 是 在 交通 密度 变 大 时 包 延 迟 仍然 可 以 维持 在 一 个 可 接受 的 范围 内 。VA- 
NET 具有 的 独特 特征 ， 如 固定 的 消息 发 布 间隔 和 临时 稳定 的 基于 地 理 区 域 构建 
的 组 等 ， 都 使 该 方案 具备 可 行 性 ， 本 章 将 在 后 面 讨论 这 些 内 容 。 

本 章 主 要 介绍 一 种 可 用 于 车 辆 通信 的 基于 TESLA 的 广播 认证 方案 TSVC 
[2] ， 首 先 简要 介绍 该 方案 所 使 用 的 技术 ， 然 后 详细 介绍 TSVC 方案 ， 最 后 对 
该 方案 进行 严密 的 安全 分 析 ， 并 通过 大 量 的 仿真 进行 性 能 评估 ， 并 在 6.5 节 给 


出 结论 。 
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6.2 ”高 效 安全 的 车 辆 通信 方案 


6.2.1 预备 知识 


6.2.1.1 单 向 散 列 链 

单 向 散 列 链 是 在 1981 年 针对 安全 口令 验证 而 提出 的 一 种 安全 技术 [3] ， 并 
且 作 为 一 种 重要 的 密码 原 语 很 快 应 用 在 其 他 领域 ， 如 微 支 付 系统 [4] 、 无 线 ad 
hoc 网 络 中 的 数据 安全 传输 [5] 和 流 数 据 认 证 [6] 等 。 单 向 散 列 链 是 对 一 个 随 
机 选择 的 种 子 S 重复 使 用 一 个 散 列 函数 H(x)， 它 具有 以 下 性 质 .: 

e 有 (x) 可 以 对 任意 长 度 的 输入 信息 进行 处 理 ， 并 生成 一 个 固定 长 度 的 消息 
摘要 。 

e 对 于 给 定 的 x， 计 算 y=H(x) 容 易 。 然 而 ， 对 于 给 定 的 y, Wx =H (y) 
非常 困难 。 

e 对 于 给 定 的 x， 满足 A(x’) £ H(x) , R x' zx 在 计算 上 是 不 可 行 的 。 

e 找到 任意 x Fil x’, [ETE x zx A(X’) =H(X) 在 计算 上 是 不 可 行 的 。 

散 列 函 数 进 行 n -1 次 运算 的 结果 分 别 表 示 为 h，h,，…, hh, HP A, =H 
(hy), hy,» =H(h,), h, =S, 1<i<n。h 被 称 为 链 的 顶端 (tip) 或 承诺 (commit- 
ment) ， 并 且 散 列 链 的 所 有 者 能 够 以 相反 的 顺序 发 布 所 产生 的 链 元 素 。 以 这 种 方 
式 ， 任 何 散 列 链 元 素 可 以 保持 秘密 ， 直 至 其 被 发 布 ， 在 收 到 一 个 链 元 素 后 ， 接 收 
方 可 以 容易 地 通过 一 个 简单 的 散 列 运算 验证 其 正确 性 。 例 如 ， 接 收 者 可 以 验证 包 
是 链 的 一 部 分 ， 如 果 接 收 者 知道 是 链 的 第 i 个 元 素 (i <j) ， 则 接收 者 需要 检查 
heh (h,) 

单 向 散 列 链 可 以 用 来 减少 一 系列 消息 的 认证 负担 。 但 是 散 列 链 机 制 的 主要 问 
题 在 于 其 处 理 消息 丢失 的 能 力 ， 而 且 传 统 的 单 向 散 列 链 具 有 固定 的 长 度 , 但 消息 
的 数量 随 应 用 而 变化 。 另 外 该 方案 需要 已 知 认证 的 消息 ， 这 对 大 多 数 实 时 应 用 来 
说 是 一 个 很 大 的 限制 。 
6.2.1.2 TESLA 认证 协议 

TESLA 是 能 够 容忍 消息 丢失 的 、 高 效 的 广播 认证 协议 ， 具 有 通信 和 计算 开 
销 低 的 特点 [1] ， 广 泛 应 用 于 传感器 网 络 中 [7], TESLA 采用 单 向 散 列 链 ， 链 
元 素 是 用 来 计算 MAC 的 密 钥 。 利 用 TESLA 协议 发 送 方 按照 接收 方 已 知 的 预定 的 
进度 表 发 送 数 据 包 并 确定 用 于 计算 散 列 链 的 承诺 ( commitment ) > 每 个 作为 MAC 
密 钥 的 散 列 链 元 素 对 应 于 一 定 的 时 间 间 隔 。 对 于 每 个 数据 包 ， 发 送 方 给 它 附 加 一 
个 MAC 标签 。 基 于 发 送 方 和 接收 方 协商 的 密 钥 公开 延迟 时 间 表 ， 使 用 散 列 链 中 
下 一 个 相应 的 MAC 密 钥 导出 此 MAC 标签 。 显 然 ， 在 接收 到 数据 包 时 ， 接 收 方 无 
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法 验证 该 数据 包 的 真实 性 。 经 过 一 个 密 钥 公开 延迟 后 ， 发 送 方 公 开 了 MAC UR, 
当 接 收 方 验证 了 公开 的 MAC 密 钥 确实 是 链 中 相应 的 元 素 后 ， 就 可 以 利用 它 验证 
该 消息 了 。 对 于 TESLA 方案 的 一 个 要 求 是 在 节点 之 间 进 行 松散 的 同步 。 该 方案 
的 缺点 是 延迟 的 消息 验证 使 其 容易 遭受 到 拒绝 服务 (DoS) 攻击 ， 因 为 接收 方 必 
须 缓存 其 接收 到 的 尚未 被 认证 的 消息 ， 如 果 亚 意 攻击 者 发 送 大 量 的 消息 ， 则 可 能 
会 导致 严重 的 安全 问题 ， 它 可 以 很 容易 地 消耗 掉 接 收 方 的 存储 器 ， 其 结果 是 接收 
方 必须 丢弃 以 后 到 达 的 消息 。[8 -11] 中 给 出 了 许多 能 够 应 对 DoS 攻击 的 基于 
TESLA 的 广播 认证 协议 。 为 简单 起 见 ， 本 章 不 考虑 防范 DoS 攻击 。 

6.2.1.3 布 隆 过 滤器 el 
































布 隆 过 滤器 (Bloom Filter) 是 一 个 
基于 散 列 的 空间 高 效 的 概率 数据 结构 ， pA ` 
用 于 查询 一 个 大 的 集合 项 目 ， 以 确定 一 "m h 
个 给 定 的 条 目 是 否 包含 在 集合 中 。 它 是 cx » 
通过 将 一 组 给 定 的 数据 项 = fe, se ,…， ANN PE x 
,| 插入 一 个 长 度 为 m HIER B= (b, AE E 
bba) 中， 该 囊 的 各 位 初始 都 设 定 为 199013…091901099 


0。 如 图 6-1 所 示 , 个 独立 的 散 列 函 数 

(H, ,H, ,- LH) RATES P A 图 6-1 一 个 mm 位 标准 Bloom Filter 的 例子 。 
数据 项 ， 以 产生 天 个 散 列 值 (或 索引 起 始 时 过 滤器 比 特 串 中 各 位 均 为 零 。 集 合 中 
值 ) ( VWs V,) 并 且 将 位 串 中 的 每 个 项 目 被 散 列 大 次 ， 每 个 散 列 得 到 一 个 
所 有 相应 位 设 定 为 1。 当 在 Bloom Filter 比特 串 的 索引 值 ， 并 将 对 应 的 位 设置 为 1 
中 查询 一 个 条 目 时 ， 假 阴性 匹配 的 情况 是 不 可 能 发 生 的 ， 也 就 是 说 ， 一 个 元 素 不 
可 能 被 错误 地 识别 为 集合 中 的 一 个 成 员 。 但 是 假 阳 性 匹配 ， 即 一 个 元 素 被 指示 为 
集合 中 的 一 员 ， 但 实际 上 不 是 的 情况 能 够 以 预 设 的 可 接受 的 假 阳性 比率 出 现 。 因 
此 ， 由 于 不 存在 假 阴 性 ,那么 用 Bloom Filter 来 确定 一 个 元 素 没 有 实际 存在 比 用 
来 确定 一 个 元 素 存在 更 有 效 。 与 其 他 数据 结构 相 比 ， 例 如 ， 二 叉 搜 索 树 、 数 组 或 
散 列 表 ， 其 占用 的 存储 空间 较 少 。 

Bloom Filter 的 主要 特性 概括 如 下 [12]: 了 用 于 存储 Bloom Filter 的 空间 以 
BAL B 的 大 小 非常 小 ; 四 查询 一 个 元 素 是 否 在 Bloom Filter 中 的 时 间 是 固定 
的 ， 且 不 受 集合 中 条 目 数 的 影响 ，(3) 假 明 性 是 不 可 能 的 ，@@ 假 阳性 是 可 能 的 ,但 
出 现 的 比率 是 可 控 的 ,但 是 较 低 的 假 阳 性 比率 将 需要 更 多 的 存储 空间 。 作 为 一 种 
表示 一 组 元 素 的 空间 高 效 的 数据 结构 ，Bloom Filter 已 被 广泛 应 用 于 Web 缓存 共 
享 [13,，14]、 数 据 包 路 由 [15] 和 差分 文件 简洁 表示 [16] 等 。 


6.2.2 系统 模式 
假设 每 台 车 辆 都 作为 中 心 并 与 周围 其 传输 范围 内 的 车 辆 构建 一 个 动态 组 ， 如 
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图 6-2 所 示 ， 车 辆 0, N, 、 和 NUI 0) 为 中 心 构建 成 一 个 车 辆 组 ， 一 辆 车 可 以 
属于 多 个 动态 组 ， 例 如 ， 车 辆 N; 还 属于 以 车 辆 0, 为 中 心 的 B 组 。 假 设 能 够 预测 
消息 在 典型 传输 范围 内 通过 无 线 信 道 传输 的 最 大 延迟 ， 例 如 参考 文献 [17] fh 
计 的 通信 延迟 约 为 10ms。 此 外 所 有 的 车 辆 都 可 以 通过 一 些 时 间 同 步 协议 【1， 
18, 19] 松散 地 进行 同步 ， 目 前 有 两 种 方法 可 用 于 发 送 方 和 接收 方 进行 时 间 同 
步 ， 即 直接 时 间 同 步 和 间接 时 间 同 步 [20] 。 考 虑 到 VANET 中 车 辆 的 高 移动 性 
和 松散 时 间 同 步 的 要 求 ， 建 议 所 有 的 车 辆 都 通过 一 个 外 部 时 间 基 准 安全 地 进行 同 
步 ， 即 间接 的 时 间 同 步 ， 例 如 每 辆 车 都 配备 高 精度 原子 钟 ， 然 后 在 每 年 或 每 两 年 
的 车 辆 检查 期 间 (例如 牌照 续 期 或 排放 测试 ) 将 时 钟 与 中 央 时 间 服 务 器 进行 同 
步 。 根 据 消 息 类 型 将 消息 认证 分 成 两 类 ， 普通 消息 认证 和 紧急 消息 认证 ， 其 中 在 
总 的 通信 和 量 中 前 者 明显 占据 主导 地 位 ， 而 后 者 的 发 送 频率 则 较 小 ， 因 此 本 章 将 主 
要 讨论 前 者 的 情形 。 





















































图 6-2 动态 虚拟 车 辆 编组 











作为 发 送 方 ， 首 先 需 要 预先 生成 一 个 散 列 链 ， 以 便 之 后 使 用 该 散 列 链 上 的 元 
素 作为 加 密 密 钥 生 成 MAC 码 。 使 用 常规 的 公 钥 签名 技术 对 第 一 个 消息 进行 数字 
签名 ， 紧 随 其 后 的 消息 将 分 别 使 用 散 列 链 上 相应 的 加 密 密 钥 计 算 MAC 标签 ， 所 
用 的 加 密 密 钥 将 在 短暂 的 延迟 后 公开 。 当 加 密 密 钥 被 公开 后 就 可 以 认证 之 前 发 送 
的 消息 了 。 根 据 每 个 消息 的 预期 传输 延迟 以 及 散 列 链 上 用 于 标识 密 钥 的 序列 号 ， 
接收 方 可 以 检查 下 一 个 用 于 生成 MAC 标签 的 散 列 密 钥 是 否 已 经 公布 ， 如 果 下 一 
个 散 列 密 钥 已 经 被 公布 ， 则 应 当 丢 弃 该 消息 ， 以 防止 消息 伪造 攻击 。 

紧急 消息 的 发 送 频率 要 低 得 多 ， 且 具有 更 高 的 处 理 优先 级 ， 可 以 采用 常规 的 
基于 数字 签名 的 验证 方案 ， 从 而 可 以 实现 最 好 的 安全 保证 和 恒定 的 延迟 。 


6.2.3 建议 的 TSVC 方案 


6.2.3.1 车 辆 组 模式 
VANET 的 一 个 独 有 的 特征 是 行驶 在 高 速 公 路 上 的 车 辆 与 相 邻 的 车 辆 保持 着 
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临时 稳定 的 相对 距离 ， 由 于 通信 通常 是 在 250 ~ 1000m 范围 内 [21] ， 根 据 车 辆 
的 行驶 速度 、 道 路 和 天 气 的 情况 ， 车 辆 之 间 的 通信 联系 可 维持 几 秒 钟 到 几 分 钟 或 
更 长 的 时 间 ， 本 书 利用 这 一 属性 ， 根 据 车 辆 的 物理 位 置 对 它们 进行 编组 ， 对 于 给 
定 的 车 辆 OO, ， 在 其 单 跳 通信 范围 内 的 所 有 其 他 车 辆 被 定义 在 同一 组 0, 中 ， 该 组 
的 关系 是 动态 的 ， 当 其 他 车 辆 进入 通信 范围 或 任何 组 成 员 离开 该 组 时 ， 组 的 关系 
需要 被 更 新 ， 大 部 分 组 成 员 在 相当 长 的 时 间 内 保持 稳定 。 
6.2.3.2 TSVC 方案 

假设 所 有 的 车 辆 在 车 辆 登记 阶段 或 年 度 检查 时 都 已 经 安装 了 一 组 匿名 公私 密 
钥 对 < PK,，SK, > ， 其 中 匿名 证 书 使 用 伪 身 份 标识 PVID, 作 为 证 书 标 识 [22], 
为 了 实现 可 追溯 ， 车 辆 登记 机 关 需 要 保存 这 些 匿名 证 书 及 其 对 应 的 真实 身份 。 每 
对 密 钥 的 生命 周期 较 短 ， 例 如 几 分 钟 ， 每 辆 车 需要 从 一 个 随机 种 子 S 生成 一 个 散 
Pie hi, hy, ..., h,, HPA, =S,h, =H (h) , 并 且 i «jo 散 列 链 中 的 每 个 元 
素 作 为 加 密 密 钥 负 责 为 若干 个 消息 生成 相应 的 MAC 码 ， 并 且 在 一 个 短 的 延迟 8 
后 发 布 该 密 钥 ，6 被 称 为 密 钥 发 布 延迟 。 在 不 失 一 般 性 的 情况 下 ， 本 方案 假设 每 
个 加 密 密 钥 作用 于 消息 的 数量 为 1， 因此 每 个 散 列 元 素 将 为 一 个 消息 生成 一 个 
MAC fi, 535, [Bit TESLA 协议 中 的 时 间 间 隔 为 包 发 布 间隔 ， 这 意味 着 ， 每 个 
数据 包 及 其 相应 的 密 钥 发 布 包 是 在 一 个 时 间 间 隔 内 生成 的 。 

散 列 链 的 长 度 可 以 根据 每 个 匿名 证 书 的 有 效 期 和 消息 发 送 的 间隔 预先 确定 。 
一 旦 匿名 公共 密 钥 对 被 更 新 ， 则 需要 初始 化 一 个 新 的 散 列 链 并 开始 使 用 。 实 际 上 
所 有 的 散 列 链 都 可 以 在 使 用 之 前 被 预先 初始 化 ， 以 降低 系统 操作 的 延迟 。 用 M,, 
M,，…，MM 表 示 由 车 辆 发 送 的 常规 安全 消息 ， 并 且 M, 被 封装 在 数据 包 P P, 
Ixixk, WE), IRCE 300ms 的 固定 间隔 发 送 。 数 据 包 验证 过 程 如 图 6-3 所 示 。 



































hy hs hs hy hs 
Pi K,_Py Py K,_Po P3 K, P3 P4 KR. Pa Ps K,_Ps 
6 
L— RARE 


* 记 是 封闭 在 密 角 发布 包 K， 灵 中 的 获 列 疱 索 ， 
也 是 计算 数据 包 Pj 的 MAC 值 的 密 钥 。 


图 6-3 ” 散 列 链 和 相应 数据 包 之 间 的 关系 


发 送 的 包 可 分 为 两 类 ， 第 一 类 称 为 数据 包 ， 用 已 表示 ， 该 类 数据 包 专 门 用 
于 发 送 数据 信息 ; 第 二 类 称 为 密 钥 发 布 包 (KRP)， 用 Kr _P, 表 示 ， 专 门 用 于 发 
布 加 密 密 钥 h,。 这 样 的 设计 是 为 了 减少 数据 包 的 端 到 端 延迟 ， 因 为 两 个 交通 安全 
数据 包 之 间 的 间隔 通常 长 于 所 容许 的 人 的 最 大 反应 延迟 。 在 前 一 个 数据 包 发 布 之 
后 ， 经 过 一 个 固定 的 时 间 5，KRP 将 被 发 布 。 
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图 6-4 显示 了 TSVC 方案 ， 对 于 任意 发 送 方 0， 它 使 用 也 作为 加 密 密 钥 生成 
消息 的 MAC 标签 ， 其 中 1<h<n。 要 发 送 的 数据 包 具 有 以 下 格式 : 
P; = CPVID, Mj, MAC, CM; || T;), T;, index) , j=1 (6.1) 
发 送 方 0 BUR. R, 








第 一 条 消息 : 

AE WIEN, hi…， hs 

牛 成 第 -条 消息 M1 

WA MAC, (M,IIT;) 

P, = (PVID, M,, MAC, (M, ||T,), Ty, index) 

EE 

BP 

等 待 5 秒 

e = Signs (hı, index = 1,T1) 


kr.P, = (PVID, c, h,, index, T^, Certo} 
ePi 





Vox, (hy, index, Ti, 0) =4 

URE, tkr Pi 

WRB, EFE 

MAC, (M,||T,) = MAC,(M,||T,) 
当 # 是 加 时 ， 在 jr_P1 中 但 找 

如 果 找 到 ， 接 受 P1 并 使 用 M1 
MARNE, BRE 





随后 的 消息 : 

生成 消息 Mjj > 1 

计算 MAC (Mil|D) 

P, = (PVID, M,, MAC, (M,IIT,), T; index) 


Pj 
—————— 
BP, 
AN OR 
kr-P, = (PVID, h;, index = j, T) j >1 
kr P, 





验证 hh = Hi-i(h) 

(i 是 上 一 个 成 功 接 收 到 的 密 钥 ) 
WERTE, RE 

如 果 是 ， 继 续 。 

验证 Iq — T —6) - ((j — packet#) x d)| < e 
如 果 人 不是 ， 玉 齐 它 

Anse, Ss. 验证 

MAC, .(M;||T;) = MAC,(M,||T;) 
当 k 是 时， 在 hr_ 了 Pi 中 查找 

如 果 找 到 ， 接 受 Pj 并 使 用 MM 
否则 丢 痉 它 


图 6-4 建议 的 安全 方案 
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其 中 Mj; 是 安全 消息 ，PVID NEM 0 的 假名 ID， 与 当前 使 用 的 公 钥 证 书 
Certo B5 ID 保持 一 致 ， 隐 是 发 送 方 发 送 数据 包 的 时 间 ， 该 时 间 被 用 来 防止 重 放 
攻击 。 

然后 发 送 方 0 准备 第 一 个 密 钥 发 布 包 (KRP) ， 并 利用 传统 的 基于 公 钥 的 签 
名 技术 对 散 列 链 hy 的 commitment 进行 签名 o 第 一 个 密 钥 发 布 包 具 有 如 下 格式 : 

kr P, =(PVID, Sig sk, (hi , index TA) , h,, index 
Ti, Certo) (6.2) 
式 中 广 是 密 铀 ， 该 密 钥 用 于 生成 第 一 个 消息 M 的 MAC 标签 ; Certo 是 当前 使 用 
的 匿名 公共 密 钥 证 书 ; SKo 是 对 应 于 Certo 的 私 钥 ; T 是 发 送 方 发 送 第 一 个 密 钥 
发 布 包 的 时 间 ; index 表示 当 0 发 布 该 包 时 当前 散 列 值 在 散 列 链 中 的 索引 ， 即 1 
为 第 一 个 密 钥 发 布 包 的 索引 。 需 要 指出 的 是 ，KRP 是 在 之 前 的 数据 包 发 布 5 秒 后 
发 布 的 。 密 钥 发 布 包 的 格式 如 下 : 
kr Pj =(PVID, h;, index =j, Tujed (6.3) 
式 中 ,hh 被 用 来 生成 消息 MM 的 MAC 标签 。 接 收 方 接收 到 第 一 个 数据 包 后 只 是 简单 
地 把 所 接收 的 包 缓存 起 来 ， 并 等 待 第 一 个 密 钥 发 布 包 的 到 达 。 接 收 方 收 到 由 消息 源 
签名 的 第 一 个 密 钥 发 布 包 后 ， 并 验证 了 发 送 方 的 匿名 证 书 Cero 后 执行 以 下 验证 : 
Vex, Chi , index, T, Sig sx, (hy , index, T1)) i] 
其 中 index =1 (6.4) 
MAC, (M, || T1) =MAC,(M, || Ti) 
式 中 ， 密 钥 上 是 包含 在 第 一 密 钥 发 布 包 中 的 户 。 

因此 ， 对 于 车 辆 0 的 相 邻 车 辆 来 说 ， 为 了 认证 来 自 于 O 的 数据 包 ， 接 收 到 
第 一 个 密 钥 发 布 包 是 非常 关键 的 ， 可 以 通过 使 用 某 种 移动 可 靠 广 播 协议 [23], 
或 者 是 将 这 些 错 过 第 一 个 密 钥 发 布 包 的 车 辆 作为 新 加 入 的 组 成 员 的 方法 来 实现 ， 
具体 方法 将 在 第 6. 2. 5. 3 小 节 中 讨论 。 

接收 方 随 后 存储 诸如 PVID 和 7 等 信息 ， 以 便 与 同一 消息 源 发 送 的 后 续 包 同 
步 。 如 果 验 证 失败 ， 则 丢弃 该 包 。 否 则 ， 每 个 接收 方 在 其 本 地 缓存 表 ( 表 6-1) 中 
保留 一 个 对 应 于 发 送 方 0 的 条 目 (packet #, source, c, T, Lifetime) , 其 中 存储 数 
据 包 索引 ， 即 1 至 字段 packet#, PVID 至 字段 source， 认 证 过 的 散 列 链 元 素 h, EF 
段 c， 发 送 方 发 送 数据 包 的 时 间 T, 2S T, Lifetime 是 一 个 用 以 控制 条 目 有 效 期 的 计时 
器 。 如 果 计 时 器 变 为 0， 则 条 目 过 期 ， 并 将 其 从 接收 方 的 缓存 表 中 删除 。 每 当 一 个 
新 的 从 数据 源 发 来 的 数据 包 到 达 时 ， 接 收 方 将 更 新 该 表 中 相应 条 目的 定时 器 。 

表 6-1 接收 方 的 缓存 表 


packet# source C 工 Liftetime 
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当 接 收 数据 包 已 , 7 > 1 时 ,接收 方 只 是 简单 地 把 接收 到 的 数据 包 放 到 缓存 
中 ,但 并 不 尝试 验证 它 。 一 旦 下 一 个 密 钥 发 布 包 Pj 到 达 时 ， 接 收 方 将 开始 验 
证 之 前 接收 到 的 数据 包 。 首 先 ， 接 收 方 通过 检查 下 式 是 否 成 立 来 检查 收 到 的 散 列 
链 元 素 的 合法 性 : 





Pern h) =e (6.5) 
其 中 为 包含 在 密 钥 发 布 包 Pj 中， 而 c 和 Pocket# 则 来 自 于 存储 在 本 地 缓存 表 
中 对 应 于 PVID 的 条 目 中 。 如 果 式 (6.5) DRE, MEF k, Pt, 否则 ， 通 
过 以 下 公式 检查 是 否 应 该 在 当前 传输 时 间 间 隔 内 释放 接收 到 的 h: 
(T; - T -8) - ( (j -packet#) xd) | «e (6.6) 
式 中 ,7 是 发 送 方 发 送 密 钥 发 布 包 的 时 间 ; d 是 包 发 布 间隔 ; 6 是 密 钥 发 布 延 
38, 7 是 来 自 于 本 地 缓存 表 中 对 应 于 PVID 的 表 项 ; e 是 时 钟 误差 (ME) WE 
st (6.6) 不 成 立 ， 表 示 对 手 尝 试 使 用 一 个 已 经 发 布 了 密 钥 伪造 消息 ， 因 此 该 数 
据 包 是 不 安全 的 ， 并 将 其 丢弃 ,否则 接收 方 开 始 通 过 检查 MAC, (M, || T;) = 
MAC, (M; 上) 是否 成 立 来 验证 数据 包 P;， 其 中 Mj、 和 MAC CM; || T) ÆR 
缓存 的 数据 包 中 的 值 ,是 Pj 中 的 散 列 元 素 h;。 如 果 验 证 成 功 ， 接 受 PE 
给 应 用 层 使 用 ,然后 ， 接 收 方 利 用 索引 、h 和 7 修改 对 应 于 PVD 表 项 中 的 第 一 、 
第 三 和 第 四 字段 ， 并 利用 一 个 新 的 计时 器 更 新 最 后 一 个 字段 ， 否 则 丢弃 Po 
通过 上 述 分 析 可 以 看 出 ， 该 方案 在 消息 的 完整 性 、 匿 名 性 和 认证 性 上 可 以 实 
现 与 基于 传统 的 PKI 方案 同样 的 安全 性 ， 相 关 分 析 将 在 6.3 节 中 详 述 。 该 方案 提 
供 了 针对 公众 的 匿名 性 ， 但 是 在 需要 的 情况 下 可 以 为 权威 机 关 (如 警察 ) 提供 
可 追溯 性 ， 因 为 所 有 被 接收 的 消息 都 唯一 地 与 发 送 方 的 匿名 公 钥 证 书 相 关联 ， 通 
过 检查 这 个 唯一 的 公 钥 证 书 ， 权 威 机 关 可 以 像 在 传统 的 基于 PKI 的 方案 中 那样 跟 
踪 消 息 发 送 方 的 真实 身份 。 
6.2.3.3 ”安全 需求 和 密 钥 公 布 延迟 6 
在 TSVC 方案 中 ,防止 消息 伪造 攻击 的 安全 需求 是 密 钥 发 布 的 等 待 时 间 应 当 
比 消息 从 发 送 方 到 达 所 有 接收 方 的 时 间 长 ， 如 果 任 何 接 收 方 + 能 够 在 原始 数据 包 
到 达 另 一 个 接收 方 了 之 前 接收 到 发 布 的 密 钥 ， 则 接收 到 密 钥 的 > 能 够 通过 生成 一 
个 有 效 的 MAC 码 伪造 一 个 消息 ， 并 将 该 消息 发 送 至 7， 而 这 个 伪造 的 消息 可 以 
通过 7 的 验证 ,这 种 情况 可 以 通过 选择 合适 的 密 钥 公布 延迟 5 来 避免 。 在 符合 
IEEE 802. 11p 的 车 辆 通信 中 ， 最 长 的 传输 范围 约 是 1000m [21] ， 因 此 6 应 该 比 
消息 在 无 线 信 道中 传输 1000m 的 时 间 稍 长 ， 据 此 通信 延迟 被 确定 约 为 10ms 
[17] 。 在 本 章 的 方案 中 8 被 设置 为 100ms， 大 约 是 实现 绝对 安全 通信 延迟 的 10 
倍 ， 同 时 也 能 满足 最 大 允许 延迟 需求 ， 此 参数 设置 将 通过 6.4 节 中 的 仿真 得 到 
验证 。 
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在 执行 正常 的 消息 认证 处 理 之 前 ， 接 收 方 需要 检查 消息 的 有 效 性 ， 以 确定 其 
是 否 满足 相关 的 安全 需求 ， 这 意味 着 接收 方 必 须知 道 数 据 包 属 于 哪个 间隔 ， 以 及 
相应 的 密 钥 是 否 已 经 被 释放 。 如 果 不 能 满足 相关 的 需求 ， 则 不 需要 验证 该 数据 
包 ， 并 直接 丢弃 。 需 要 注意 的 是 ， 由 于 VANET 中 实时 应 用 对 时 间 的 严格 要 求 ， 
应 丢弃 延迟 或 过 时 的 消息 ， 因 此 如 果 消 息 在 所 允许 的 最 大 延迟 时 间 (例如 入 类 
最 大 反应 时 间 ) 后 到 达 ， 应 直接 丢弃 该 消息 ， 而 不 需要 将 其 放 入 缓存 中 。 


6.2.4 支持 不 可 否认 性 的 增强 TSVC 方案 


除了 DoS 攻击 [8-11] 外 ， 原 来 的 TESLA 方案 还 面临 着 易 受 抵赖 性 攻击 的 
问题 ，TESLA 的 核心 是 将 时 间 划 分 为 均匀 的 时 间 间 隔 ， 然 后 将 散 列 链 上 的 元 素 
作为 MAC 密 钥 ， 并 按 生成 散 列 链 相反 的 顺序 将 这 些 密 钥 分 配给 每 个 时 间 间 隔 。 
发 送 方 定义 了 一 个 密 钥 公 布 时 间 5， 一 般 为 几 个 时 间 间隔 的 长 度 。 接 着 发 送 方 按 
M, | MAC( M) 构 造 每 个 数据 包 ， 其 中 MM 是 要 发 送 的 消息 ，MACi( M,) 是 使 用 密 
Bk ERKI 机 的 MAC, | 代表 消息 串联 。 接 收 方 缓存 接收 到 的 包 ， 并 且 不 知道 
其 MAC 密 钥 ， 在 公布 时 间 8 后 发 送 方 在 随后 的 消息 中 公布 MAC RH k, Bala 
检查 该 MAC 密 钥 上 是 否 应 该 在 这 个 时 间 间隔 被 释放 ， 并 使 用 之 前 发 布 的 密 钥 验 
证 其 正确 性 〈 其 安全 性 是 由 单 向 散 列 函数 不 可 道 的 特性 来 保证 的 ) 。 然 后 接收 方 
检查 缓存 中 数据 包 的 MAC 值 ， 以 确定 该 包 没有 被 修改 或 改变 。 

可 以 看 出 当 MAC 密 钥 被 公开 后 ， 数 据 包 是 可 以 伪造 的 ， 包 括 发 送 方 在 内 的 
任何 人 在 知道 密 钥 后 能 够 利用 该 密 钥 计算 正确 的 MAC 值 ， 从 而 可 以 利用 MAC, 
(M',) 伪造 数据 包 M;， 由 于 本 章 提 出 的 TSVC 方案 采用 对 称 密 钥 密码 系统 保护 
VANET 通信 ， 因 此 该 方案 不 能 提供 不 可 否认 性 ， 发 送 方 可 以 否认 他 /她 过 去 发 送 
过 消息 的 事实 ， 这 将 使 起 诉 违法 者 变 得 非常 困难 ， 因 为 即使 揭露 了 消息 发 送 方 的 
真实 身份 ， 但 是 还 是 不 能 够 证 明 消息 确实 是 从 发 送 方 发 出 的 ， 这 使 得 调查 和 起 诉 
罪犯 变 得 非常 困难 ， 造 成 这 种 情况 是 因为 在 散 列 密 钥 (或 散 列 链 上 的 元 素 ) 被 
释放 或 通过 网 络 广 播 后 消息 就 可 以 被 伪造 了 。 但 是 目前 大 部 分 车 辆 应 用 并 不 需要 
不 可 否认 性 ,特别 是 那些 与 安全 不 相关 的 应 用 ， 如 车 载 娱 乐 系统 (音乐 和 视频 
流 服务 ) 和 广告 等 ， 不 可 否认 性 对 于 这 些 应 用 程序 的 正常 运行 并 不 重要 ， 例 如 
路 旁 的 广告 可 以 通过 车 辆 到 RSU 的 通信 来 增强 其 营销 方法 。 本 地 企业 或 零售 商 
也 可 以 通过 RSU 广播 宣传 他 们 的 产品 或 服务 ， 但 是 虚假 广告 (或 欺骗 性 广告 ) 
也 会 经 常 出 现 ， 例 如 通过 声称 一 个 特别 优惠 的 交易 报价 或 产品 将 客户 (驾驶 人 
和 乘客 ) 吸引 到 他 们 的 店 里 ， 但 当 客 户 到 达 商 店 后 ， 可 能 会 遭遇 骗局 (例如 ， 
产品 的 质量 与 描述 不 符 ) ， 即 使 是 那些 落 和 骗局 的 人 也 可 以 利用 销售 发 票 或 收据 
等 历史 交易 证 据 对 欺诈 性 业务 或 服务 提出 申诉 ， 因 此 这 种 情况 并 不 需要 不 可 否 
认 性 。 
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由 于 坎 诈 正在 成 为 道路 上 需要 解决 的 突出 问题 ， 有 必要 为 车 载 通信 提供 不 可 
抵赖 性 ， 本 节 将 进一步 扩展 TSVC 方案 ， 以 支持 不 可 否认 性 ， 并 针对 此 问题 给 出 
了 两 种 解决 方案 
6.2.4.1 基于 数据 包 内 布 隆 过 滤器 的 链接 包 签名 

目前 已 经 有 许多 机 制 和 解决 方案 在 TESLA 方案 中 加 入 不 可 否认 性 ， 高 效 多 
链 流 签名 (EMSS) 协议 [24] 就 是 其 中 之 一 ， 如 图 6-5 所 示 ， 其 中 每 个 增 大 数 
HE (AP) 包含 一 些 前 驱 包 (25 100 ~ 1000) 的 散 列 值 。 为 了 向 发 送 方 提供 不 
可 否认 服务 ， 就 必须 以 恒定 的 速率 发 送 包 含有 几 个 散 列 值 的 签名 包 ， 由 于 通信 开 
销 的 大 小 与 AP 包 中 前 驱 包 的 数目 成 正比 ， 因 此 会 导致 通信 开销 的 显著 增加 ， 例 
如 假定 数字 签名 是 2048bit 长 ， 如 果 前 驱 的 数量 是 99， 并 采用 SHA -1 散 列 函数 ， 
则 每 100 个 数据 包 就 会 有 195. 5KB 的 开销 ， 在 EMSS 中 通信 开销 主要 由 两 部 分 组 
R: 所 有 前 驱 的 散 列 值 和 签名 报 文 。 显 然 ， 前 驱 的 数量 越 大 ， 相 应 的 通信 开销 也 

越 大 。 然 而 ， 在 这 种 情况 下 ， 我 们 只 需要 较 少 的 签名 数据 包 。 
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图 6-5 个 应 用 EMSS 协议 的 例子 ， 其 中 每 个 AP 包含 有 它 的 三 个 前 驱 的 摘要 


为 解决 通信 开销 的 问题 ， 本 节 提 出 了 基于 数据 包 内 布 隆 过 滤器 (Bloom Fil- 
ter) 的 链接 包 签名 协议 。 在 该 协议 中 ， 每 个 增强 数据 包 仪 包含 一 个 Bloom Filter, 
它 代 表 所 有 前 面 的 报 文 及 其 本 身 。 为 了 向 发 送 方 提供 不 可 否认 性 ,将 定时 发 送 包 
含有 Bloom Filter 签名 的 签名 包 ， 图 6-6 给 出 了 一 个 例子 ， 其 中 每 三 个 数据 包 发 
送 一 个 签名 数据 包 ，Bloom Filter 非常 适用 于 这 一 场景 ， 因 为 它 没有 存储 可 能 
致 显著 增加 通信 开销 (例如 额外 的 存储 空间 ) 的 数据 包 本 身 ， 也 就 是 说 可 以 通 
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过 使 用 Bloom Filter 来 降低 通信 开销 ， 因 此 该 方案 在 提高 性 能 的 情况 下 仍然 保留 
了 TESLA 类 似 方 案 的 安全 特性 。 
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图 6-6 本 节 所 建议 的 方案 的 例子 ， 其 中 每 发 送 三 个 数据 包 发 送 
一 个 签名 数据 包 (假设 Bloom Filter 的 大 小 为 mbit) 





下 面 将 该 协议 与 图 6-7 所 示 的 EMSS 进行 比较 来 分 析 通 信 开 销 ， 这 里 假设 采 
用 RSA 签名 方案 ，RSA 密 钥 越 大 ， 则 RSA 签名 方案 越 安全 ， 事 实 上 为 了 确保 较 
高 的 安全 水 平 ， 推 荐 的 密 钥 大 小 至 少 应 为 2048pit， 对 应 的 数字 签名 的 大 小 是 
256Byte， 这 里 假设 采用 SHA -1 散 列 函数 ， 并 且 Bloom Filter 的 尺寸 为 16bit。 此 
后 研究 在 每 个 EMSS 增强 数据 包 包含 了 (n-1) 个 前 驱 摘 要 的 情况 下 ， 每 n 个 包 
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图 6-7 本 节 提 出 的 方案 与 EMSS 之 间 通 信 开 销 的 比较 
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在 分 别 采 用 EMSS 和 本 节 提 出 的 协议 时 的 通信 开销 ， 根 据 对 比 可 以 发 现 ， 本 节 提 
出 的 协议 的 通信 开销 正比 于 发 送 包 的 数量 ， 而 EMSS 的 通信 开销 随 包 的 数量 的 增 
加 而 显著 增加 ， 这 是 因为 数据 包 的 散 列 值 包含 在 每 个 增强 数据 包 中 ， 从 而 使 
EMSS 的 通信 开销 要 显著 高 于 本 节 提 出 的 协议 ， 因 此 本 节 提 出 的 协议 可 以 在 不 损 
害 安全 性 的 前 提 下 显著 降低 通信 的 开销 。 
6.2.4.2 使 用 可 信 设 备 实现 不 可 否认 性 

另 一 种 在 TSVC 中 提供 不 可 否认 性 的 有 效 方法 是 使 用 防 算 改 设备 (TPD)， 
车 辆 配备 用 来 存储 密 钥 、 数 据 和 代码 的 TPD, TPD 能 够 有 效 对 抗 各 种 攻击 企图 ， 
使 攻击 者 不 能 获得 存储 在 其 中 的 数据 。 为 减少 受到 攻击 的 风险 ， 该 设备 应 该 配备 
有 自己 的 电池 ， 电 池 可 以 从 车 辆 进行 充电 ， 并 且 只 有 授权 人 员 才 能 访问 该 设备 ， 
参考 文献 [25、26] 的 商业 产品 就 具备 这 些 功 能 。 此 外 ,为 了 保护 敬 驶 人 的 隐 
Th, 授权 人 员 还 必须 有 访问 此 设备 的 搜查 令 。 

如 图 6-8 所 示 ，TPD 有 两 个 主要 功能 : 中 执行 加 密 操 作 ， 例 如 为 输出 数据 包 
提供 安全 服务 和 验证 输入 数据 包 的 MAC 标签 ; 加 记录 车 辆 发 送 和 接收 的 任何 数 
据 。 它 类 似 于 一 个 黑 盒子 ， 该 技术 往往 应 用 在 飞机 上 以 利于 航空 事故 的 调查 。 
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图 6-8 ”使 用 TPD 的 OBU 系统 架构 








当 接 收 到 数据 包 P, OBU 将 其 发 送 到 TPD, 该 TPD 只 是 将 其 绥 存 ,一旦 下 
SEHRE k, PANA TPD， 它 将 开始 验证 先前 缓存 的 数据 包 已 。 假 设 验证 
成 功 后 继续 进行 如 图 6-4 所 示 的 过 程 ， 然 后 接受 数据 包 已 ， 随 后 OBU 计算 数据 
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包 的 散 列 值 ， 并 存储 在 证 据 表 中 ， 同 时 存储 的 还 有 数据 包 接收 时 间 惟 ， 见 表 6-2， 
这 些 内 容 将 被 用 于 实现 不 可 否认 的 目的 。 此 外 有 一 个 参数 被 用 于 确定 证 据 表 中 的 
证 据 应 该 保留 多 久 ， 通 过 将 该 参数 (或 到 期 时 间 ) fe ABI Se, FY DAE OK Ze 
中 所 有 与 过 期 数据 包 相 关 的 记录 删除 ， 从 而 降低 存储 和 搜索 成 本 。 在 现实 中 ， 失 
效 时 间 是 由 权威 机 构 决 定 的 ， 过 期 的 数据 将 从 表 中 自动 删除 。 类 似 的 规定 已 经 存 
在 于 监控 视频 领域 ,例如 所 有 的 金融 机 构 ， 包 括 银 行 和 自动 柜员 机 (ATM), m 
要 将 存储 的 监控 录像 保存 至 少 180 天 。 
表 6-2 TPD 中 的 证 据 表 























散 列 数 据 包 时 间 戳 
04387 a87d3948772dd9746d29 17043 /b/2 1419197712 
0x5ec962 b4eafcac61f803 ddb08 add65 be 1281190212 


在 某 些 情况 下 发 送 方 会 否认 其 在 过 去 发 送 了 某 个 数据 包 ， 并 且 声 称 其 发 送 了 
另外 一 个 实际 上 是 其 后 来 伪造 的 一 个 数据 包 ， 这 一 争端 可 以 通过 搜索 证 据 表 中 与 
这 些 车 辆 相关 的 数据 包 的 散 列 值 来 解决 ， 如 果 发 现 了 匹配 的 记录 就 可 以 容易 地 找 
出 事情 的 真相 ， 并 证 明 发 送 方 否认 了 事实 。 

对 于 该 方案 所 需 的 存储 空间 ， 假 设 该 方案 使 用 MDS 散 列 函数 ， 时 间 戳 以 ms 
为 单位 ， 长 度 是 32bit， 通 过 估算 每 个 数据 包 在 证 据 表 中 条 目的 大 小 为 160bit。 根 
ji DSRC [21] 协议 ， 车辆 将 以 100 ~ 300ms 的 时 间 间 隔 发 送 消息 ， 在 通信 范围 
内 有 10 台 车 辆 的 情况 下 ， 每 台 车 辆 每 秒 将 接收 高 达 100 条 消息 ， 这 意味 着 每 秒 
至 少 需要 2000Byte 的 存储 空间 。 证 据 被 保存 的 时 间 越 长 ， 所 需 的 存储 空间 也 就 
武大 ， 假 设 按照 金融 部 门 现行 的 严格 规定 ， 证 据 必须 保存 至 少 180 天 ， 则 所 需 的 
总 存储 空间 大 约 为 29GB。 随 着 硬盘 技术 的 发 展 ， 存 储 成 本 已 大 幅 降 低 (根据 
statisticbrain. com [27] 的 调查 ，2014 年 每 GB 大 约 花 费 0.03 美元 ) 。 另 外 考虑 
到 普通 汽车 大 部 分 时 间 处 于 停放 状态 ( 约 95% [28]) ， 因 此 实际 所 需 的 存储 空 
间 将 远 低 于 上 述 估 值 。 


6.2.5 讨论 


6.2.5.1 应 对 消息 丢失 的 能 

无 线 通信 信道 在 本 质 上 是 有 损耗 的 ， 而 TESLA 方案 是 一 个 丢 包 容忍 的 技术 
方案 ， 本 章 的 方案 作为 TESLA 的 继承 方案 也 是 丢 包 容忍 的 ， 即 如 果 一 个 数据 包 
丢失 了 ， 并 不 需要 采取 进一步 的 行动 。 男 一 方面 ， 如 果 KRP k, PER, PERM 
k, Pit, 其 中 j>i， 则 前 一 消息 的 正确 性 仍然 可 以 被 验证 ， 断 开 的 散 列 链 能 够 
通过 应 用 7 -i 次 散 列 函 数 及 (x) 而 被 重新 连接 起 来 ， 并 检查 是 否 有 H Ch) zh, 
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如 果 是 ， 则 新 到 达 的 散 列 值 亡 是 可 接受 的 。 但 是 ， 如 果 多 个 连续 包 丢 失 ， 使 得 等 
待 新 密 钥 发 布 包 的 时 间 大 于 最 大 容许 消息 延迟 时 间 ， 则 将 好 忽略， 在 这 种 情况 
下 ， 当 新 的 数据 包 到 达 时 ， 后 续 消 息 仍然 可 以 被 认证 ， 这 将 在 6. 4 节 进 行 讨论 。 
6.2.5.2 ”带宽 效率 

本 节 将 与 常规 的 基于 公 钥 的 协议 相 比 ， 分 析 由 于 减 小 了 包 的 平均 大 小 而 引起 
的 带宽 消耗 的 降低 。 

对 于 签名 消息 ， 因 安全 而 增加 的 额外 载荷 是 公 钥 证 书 和 该 消息 数字 签名 的 长 
度 。 在 现 有 的 数字 签名 方案 中 ， 如 RSA、DSA、ECDSA 和 BLS， 从 数据 包 开 销 和 
验证 时 间 等 方面 考虑 ， 最 适合 VANET 应 用 的 候选 方案 是 ECDSA。 由 ECDSA 造 
成 的 最 小 额外 载荷 是 每 条 消息 181Byte， 其 中 包括 数字 签名 和 公 钥 证 书 ， 因 此 传 
统 的 签名 包 的 总 长 度 大 约 为 281Byte， 其 中 有 效 载荷 大 约 100Byte [17] 。 

为 了 评估 本 章 方 案 中 消息 传递 的 平均 成 本 ， 假 设 第 一 个 KRP 使 用 ECDSA 77 
案 进 行 签 名 ， 并 且 使 用 SHA - 1 安全 散 列 算法 ， 每 个 匿名 证 书 的 寿命 为 10min， 
发 送 浓 规 交 通 消息 的 间隔 是 300ms。 这 样 常规 交通 消息 Nj 的 总 数 为 2000， 数 
据 包 的 长 度 为 

















=100 +4 +20 +4+4 (6.7) 
= 132 Byte 
JEP, timestamp 和 PVID 分 别 为 4Byte。 第 一 个 KRP 的 长 度 是 
Ly p, = Lpypy + La, + Lia, +L 


g index 


i = Lyi + Lpyp + Lyac + Lr + Lindex 


+ Lr + Leon (6.8) 
=4 +56 +20 +4+4 +125 
= 157 Byte 
随后 KRP 的 长 度 是 
Ly, p, = Lpyin + Lash + Lindex 
| =4 +20 +4 (6.9) 
=28Byte, i>1 


HF, index 为 4Byte。 在 本 章 的 方案 中 加 入 密码 算法 后 包 的 平均 长 度 是 : 
Lge = (Ly y, t+ Lp, X Np tL, p, 
x (Ny p -1))/] Nga (6. 10) 
= (157 +132 x2000 +28 x 1999) /2000 
7 160Byte 
这 比 传统 的 基于 PKI 的 数字 签名 方案 要 短 得 多 。 
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6.2.5.3 容忍 组 成 员 波 动 

本 节 将 研究 在 保持 可 接受 的 通信 损耗 和 认证 延迟 的 情况 下 如 何 减轻 由 于 车 辆 
组 成 员 动 态 波动 而 造成 的 影响 。 

当 车 辆 加 入 或 离开 组 时 会 造成 组 成 员 的 波动 ， 在 车 辆 离开 传输 范围 的 情况 
下 ， 可 以 很 容易 地 通过 一 个 时 间 阔 值 进行 处 理 ， 即 在 超过 该 阅 值 后 在 本 地 缓存 
表 中 除去 该 组 管理 员 的 条 目 ， 离 开车 辆 短暂 地 保存 组 管理 员 信息 记录 的 原因 是 
为 了 避免 暂时 的 组 成 员 身 份 更 改 。 另 一 方面 ， 当 车 辆 (表示 为 4) 新 加 入 一 个 
车 辆 (表示 为 0) 组 ，4 需要 获取 包含 在 第 一 密 钥 发 布 包 Kr _Pi 中 的 认证 密 钥 
言 息 ， 以 验证 从 0 接收 到 的 任何 可 能 的 消息 。 如 果 A 能 够 从 0 获得 散 列 链 Kr 
_P 的 第 一 个 认证 了 的 tp， 则 这 个 问题 可 以 迎刃而解 ， 据 此 A 能 够 验证 这 个 签 
了 名 的 加 密 密 钥 的 tip， 并 随后 认证 任何 从 0 接收 到 的 消息 。 因 此 在 成 员 波 
动 率 较 低 时 该 处 理 成 员 波 动 的 方法 简单 而 有 效 。 但 是 当 组 成 员 剧烈 波动 时 该 办 
法 可 能 会 造成 严重 的 信 令 和 处 理 开 销 。 下 面 介 绍 另 一 种 方法 ， 即 各 车 辆 组 周期 
性 地 广播 包含 有 散 列 链 Kr Pj 上 第 一 个 认证 了 的 tip 的 密 钥 发 布 包 ,以便 允许 
新 加 入 车 辆 能 够 验证 其 接收 到 的 消息 ， 其 代价 是 需要 额外 的 周期 性 广播 的 带宽 
开销 和 更 长 的 认证 延迟 ， 确定 所 述 广 播 周 期 的 大 小 是 一 个 需要 考虑 的 设计 因 
素 ， 采 用 更 大 (或 更 小 ) 的 广播 间隔 会 导致 更 少 (或 更 多 ) 的 带宽 消耗 ， 以 
及 更 长 (或 更 短 ) 的 认证 延迟 。 需 要 注意 的 是 ， 交 通路 线 / 安 全 消息 的 目的 是 
向 其 他 驾驶 人 提供 早期 预警 ， 但 是 延迟 到 达 的 路 线 / 安 全 信息 会 显著 降低 其 有 
效 性 。 因 此 如 何平 衡 认证 延迟 和 因 周 期 性 广播 散 列 链 tip 而 产生 的 带宽 消耗 之 
间 的 关系 是 一 项 具有 挑战 性 的 任务 。 

本 节 首 先 考虑 一 个 如 图 6-9 所 示 的 高 速 公 路 单车 道场 景 ， 其中， 和 车辆 4 进入 
O 的 传输 范围 ， 这 里 关注 的 是 针对 所 建议 的 安全 机 制 在 测试 时 间 内 会 影响 多 少 辆 
车 。 假 设 每 辆 车 在 假想 小 区 的 中 心 ， 其 中 小 区 是 由 传输 范围 R 定义 的 ， 并且 公 
路 上 车 辆 的 位 置 是 按照 每 公里 n 台 车 辆 的 密度 随机 分 布 的 ， 这 个 假设 广泛 用 于 





















































ww 一 


图 6-9 单车 道 高 速 公路 场景 
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交通 流量 建 模 中 [30 -32] 。 车 辆 4 和 参考 车 辆 0 之 间距 离 的 概率 密度 函数 由 下 
式 给 出 





f) "Ny (sie TOS as (6.11) 


式 中 ,1 表示 4 和 0 之 间 的 距离 ; v6。 和 ww 分 别 是 基准 速度 和 进入 速度 。 这 种 
假设 是 合理 的 ， 因 为 : 中 在 任何 时 间 快 照 点 的 所 有 车 辆 在 车 道上 的 位 置 可 以 
具有 相等 概率 ; @ 通 常 在 高 速 公路 上 会 有 几 个 热点 ， 那 里 车 辆 的 密度 会 比 道 
路 上 其 他 区 域 更 高 。 在 城市 中 有 些 地 区 (如 出 租车 上 客 / 下 客 区 ) 会 经 常 挤 
满 了 汽车 ,但 是 在 高 速 公 路 上 正常 情况 下 很 少 会 有 和 车辆 聚集 的 情况 发 生 。 此 
外 ,假设 v 遵循 参数 w, o) 截 短 的 高 斯 分 布 。 在 高 速 公路 上 ， 驾 驶 人 必须 
遵守 速度 限制 ， 但 是 仍然 会 有 一 些 超速 车 辆 和 低速 车 辆 。 库 利和 胡 贝 卡 
[33] 使 用 2002 年 联邦 公路 管理 局 公路 统计 并 应 用 蒙特 卡 洛 仿真 模型 ， 以 
及 一 个 闭合 形式 分 析 估算 模型 证 明了 高 速 公路 上 车 辆 的 速度 符合 截 短 的 高 斯 
分 布 。 因 此 ， 在 测试 时 间 7 车 辆 4 进入 车 辆 0 的 虚拟 小 区 的 概率 可 以 表示 为 
P(1-R<(v-vo)7Tlv)， 并 且 有 

Pr = Prob| 在 7 内 某 车 辆 进入 传输 范围 


Z f [pa < (v - v) T + R |y)f(v) did 





























1 "H v-v? 
= ((v —v)T +R) - ex (- Jax Je v > v 
ao /2mT(v —J : 20° i 








(6.12) 
BY P,=0, "和 mw。 在 单车 道 ， 所 有 车 辆 进入 参考 小 区 Pj 的 概率 都 相同 ， 可 以 被 
看 作 是 一 个 “成 功 ” 的 试验 ; 而 不 进入 1 - Py 的 概率 可 以 看 作 是 一 个 “失败 ” 
的 试验 。 如 果 车 道上 车 辆 的 数量 ， 近 似 于 mT(v -vw ),,、， 可 以 看 成 是 nn 个 独立 试 
验 ,使 用 二 项 式 分 布 对 进入 参考 小 区 车 辆 的 数目 的 分 布 进行 建 模 。 那 么 进入 小 区 
车 辆 的 平均 数目 由 下 式 给 出 
E(k] =nP, (6. 13) 
式 中 站 是 车 道上 车 辆 的 数目 ， 它 可 以 通过 nT (0-0) ,近似 给 出 。 

注意 ,根据 单一 车 道 车 辆 均匀 分 布 的 假设 ， 单 车 道 方案 可 以 很 容易 地 通过 乘 
以 车 道 数 扩展 到 多 车 道 情形 ， 从 而 得 到 E[%] 。 因 为 车 辆 之 间 的 无 线 电 反射 ， 虚 
拟 小 区 可 以 被 看 作 是 一 个 矩形 ， 这 也 证 实 了 我 们 的 假设 。 

图 6-10 显示 了 不 同 的 广播 间隔 发 布 散 列 链 认证 tip 时 每 条 消息 消耗 的 平均 带 
宽 。 从 图 中 可 以 看 出 ， 广 播 间 隔 越 大 ， 每 条 消息 所 消耗 的 平均 带宽 就 越 小 。 此 外 
当 广 播 间 隔 达 到 10 后 ， 带 宽 消 耗 的 降低 就 不 再 明显 ， 更 有 趣 的 是 ， 当 广播 间隔 
大 于 20 时 ， 带 宽 的 消耗 趋 于 稳定 。 这 样 根 据 仿 真 配置 建议 将 广播 间隔 设 定 为 约 
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6s， 即 图 中 的 曲线 拐点 ， 使 得 车 辆 能 够 获得 带宽 消耗 的 最 快 下 降 ， 同 时 还 能 增加 
广播 间隔 。 


om 











= TSVC w 周期 性 广播 or_P 
一 TSVC w/o 组 成 员 变 动 





450 1 UT eee bees BE Reese ES TUAE 


2sppee 


每 条 消息 占用 的 平均 局 宽 /Byte 








5 10 15 20 25 30 35 40 45 50 
广播 问 隔 /300ms 


图 6-10 不 同 广播 间隔 占用 的 平均 带宽 





c 


另外 ， 从 图 中 可 以 看 出 ， 当 广播 间隔 了 = 20 时 相对 于 了 = 10 来 说 ， 对 带宽 消 
耗 的 保护 非常 有 限 。 由 于 车 辆 能 够 感 测 到 一 台 正 在 接近 车 辆 的 速度 ， 本 节 建 议 的 
实现 自 适应 广播 认证 tip 的 策略 描述 如 下 : 当 车 辆 观察 到 与 邻近 车 辆 之 间 有 很 大 
的 速度 差 时 ， 它 将 采用 较 小 的 广播 间隔 ， 如 了 =10， 以 较 大 的 带宽 消耗 为 代价 换 
取 可 接受 的 认证 延 时 。 和 否则 ， 它 采用 正常 广播 的 间隔 ， 如 了 =20， 以 获得 认证 延 
述 和 带宽 消耗 之 间 的 最 佳 平衡 。 

下 面 将 研究 定期 广播 机 制 对 新 加 入 车 辆 的 影响 。 假 设 高 速 公路 上 和 车辆 的 平均 
PRE v Fy 100km/h, 图 6-11 给 出 了 在 不 同 的 广播 间隔 下 受 影 响 车 辆 的 平均 数量 
(表示 为 E[k]) 与 车 速 标准 偏差 (Ao) 之 间 的 关系 。 从 图 中 可 以 看 出 ， 当 
c 较 小 时 ， 受 影响 车 辆 的 数目 是 适中 的 ， 它 并 不 随 o 的 增加 而 显著 增加 。 但 是 











当 o 较 大 时 ， 受 影响 车 辆 的 数目 随 o 的 增加 而 显著 增加 。 这 表明 针对 影响 车 辆 
的 平均 数量 ， 广 播 时 间 间 隔 的 长 度 对 所 提出 的 机 制 可 能 有 显著 的 影响 ， 特 别 是 当 
o 较 大 的 时 候 。 
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vo =100km/h, R —Ikm, 2 HE=2 


人 ee A E SA E A EE LLL . 


1000 ——— 





受 影 响 的 车 辆 数 











车 速 标准 差 




















图 6-11 由 于 车 速 标 准 偏差 而 受 影响 的 车 辆 








63 ”安全 分 析 


本 节 针 对 TSVC 


方案 进行 安全 性 分 析 ， 如 下 所 示 。 


© 数据 源 隐私 ， 本 方案 对 数据 源 的 隐私 进行 了 很 好 的 保护 ， 因 为 每 辆 车 在 
初始 化 阶段 预先 安装 了 一 组 匿名 公私 密 钥 对 及 对 应 的 公 钥 证 书 。 当 车 辆 广播 数据 


包 时 ， 它 只 需要 选择 








一 对 密 钥 ， 其 中 私 钥 用 于 签署 第 一 个 密 钥 发 布 包 。 本 方案 使 


用 的 是 数据 源 的 伪 标 识 ， 所 以 TSVC 方案 不 会 泄露 车 辆 的 真实 身份 。 此 外 ， 由 于 





式 难以 实现 。 


每 个 匿名 公 钥 证 书 具有 较 短 的 有 效 期 ， 这 使 得 通过 匿名 证 书 跟踪 单个 驾驶 人 的 方 


e 可 追溯 性 : 权力 机 关 总 是 可 以 通过 查找 数据 库 将 真实 身份 和 伪 标 识 关联 


起 来 ， 以 便 在 发 生 争议 时 还 原 事情 的 真相 。 


景 ， 具 体 描 述 如 下 : 





TSVC 方案 可 以 高 效 地 认证 数据 源 ， 以 适应 车 辆 的 通信 场 
第 一 密 钥 发 布 包 由 私 钥 签 名 ， 该 私 钥 对 应 于 一 个 匿名 公 钥 证 


P, ZAAIEN ECDSA, ECDSA 是 一 种 安全 、 高 效 的 数字 签名 方案 ， 任 何人 都 
可 以 明确 地 验证 第 一 个 密 钥 发 布 包 。 之 后 ， 封 装 在 第 一 个 密 钥 发 布 包 中 的 密 钥 能 
够 被 用 来 认证 第 一 数据 包 。 同 时 ， 由 于 在 方案 中 使 用 了 安全 单 向 函数 ， 随 后 到 达 
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的 数据 包 也 可 以 快速 地 被 认证 。 如 果 攻 击 者 可 以 伪造 第 一 个 认证 密 钥 发 布 包 ， 这 
会 与 椭圆 曲线 离散 对 数 难度 问题 相 矛 盾 。 男 一 方面 ， 如 果 攻 击 者 可 以 伪造 后 面 的 
认证 报 文 ， 它 将 与 安全 散 列 函数 的 单 向 假设 矛盾 。 因 此 TSVC 方案 可 以 用 来 实现 
数据 源 认证 。 

e 抵御 重 放 攻 击 : 因为 时 间 惟 被 舱 入 到 每 个 数据 包 中 ， 用 来 验证 其 有 效 性 ， 
所 以 TSVC 方案 可 以 防止 重 放 攻 击 。 


6.4 ”性 能 评估 


本 节 采 用 ns -2 [35] 进行 仿真 验证 该 方案 的 效率 和 适用 性 。 本 节 主 要 仿真 
在 使 用 本 章 的 安全 方案 时 导致 的 平均 数据 包 延 迟 (PD) 和 平均 丢 包 率 (PLR), 
并 与 一 些 传统 的 基于 公 钥 的 安全 方案 相 比较 。 对 于 PLR， 只 考虑 由 安全 机 制造 成 
的 包 丢 失 ， 而 不 考虑 由 无 线 信道 造成 的 包 丢 失 。 

在 路 侧 通信 方面 ， 针 对 高 速 公 路 和 城市 交通 两 个 场景 进行 了 仿真 ， 并 且 在 每 
个 方向 上 均 支 持 三 个 车 道 。 在 高 速 公 路 场景 下 ， 初 始 时 车 辆 间 有 具有 相等 车 辆 间 
距 ， 然 后 开始 均匀 地 以 (+ 上 10) km/h 为 变化 范围 随机 地 改变 速度 ， 其 中 " 是 仿 
真 中 各 车 辆 的 平均 速度 。 在 城市 场景 中 ， 为 充分 估计 真实 的 城市 道路 环境 和 车 辆 
交通 ， 本 节 使 用 了 Saha 和 Johnson [34] 开发 的 专门 用 来 为 车 辆 生成 ns -2 格式 
的 交通 场景 文件 的 移动 模型 生成 工具 ， 该 工具 使 用 了 可 公开 获得 的 由 美国 人 口 普 
查 局 发 布 的 拓扑 综合 地 理 编码 和 参考 (TIGER) 数据 库 ， 其 中 包含 了 美国 各 个 城 
市 的 详细 街道 图 。 仿 真 中 采用 的 地 图 如 图 6-12 所 示 ， 这 是 休斯敦 阿 夫 顿 橡树 区 
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图 6-12 500m 跨度 的 城市 地 图 
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的 一 部 分 。 车 辆 首先 随机 地 散布 在 道路 上 的 一 个 交叉 点 ， 并 重复 地 沿 着 地 图 上 限 
制 的 道路 向 随机 选择 的 交叉 点 移动 。 车 辆 根据 道路 速度 限制 以 35 ~ 75mile/h 
(1mile/h =1.6km/h) J& 5mile/h 的 随机 波动 范围 移动 。 所 有 的 仿真 参数 列 于 表 
0-3 中 。 

























































































表 6-3 仿真 配置 
高 速 公路 仿真 范围 2500m x 50m 
城市 仿真 范围 500m x 500m 
通信 范围 300m 
仿真 时 间 100s 
信道 带宽 6MB/s 
无 线 协议 802. 11 
暂停 时 间 0s 
数字 签名 签发 延迟 1. 52ms 
消息 验证 延迟 4. 14ms 
MAC 生成 /验证 延迟 lms 
TSVC 数据 包 长 度 120Byte 
签名 消息 长 度 200Byte 
于 TSVC 的 缓存 大 小 80 包 了 
用 于 PKI 的 缓存 大 小 2 包 














CD 缓存 的 大 小 应 当 足 够 存储 在 密 钥 发 布 延迟 期 (时 长 为 6) 所 接收 到 的 消息 。 

首先 需要 测试 在 高 速 公路 情景 下 通过 基于 IEEE802. 11p 无 线 信道 发 送 消息 
的 时 间 。 因 为 大 部 分 的 传输 延迟 是 因 无 线 信 道 竞 争 而 造成 的 ， 这 意味 着 当 交 通 密 
度 最 高 时 ， 信 息 传输 时 间 也 将 达到 最 长 。 本 节 针 对 交通 拥挤 情景 进行 了 仿真 ， 其 
中 通信 范围 设 定 为 300m， 和 车 间距 离 设 定 为 Sm。 从 仿真 结果 看 ， 最 长 传输 延迟 是 
6.467ms。 因 此 后 面 的 仿真 将 密 钥 发 布 延 迟 6 保守 地 设 定 为 100ms， 这 比 实际 延 
迟 要 大 得 多 ， 并 由 此 保证 了 绝对 安全 。 

然后 ， 本 节 开 展 了 两 组 仿真 验证 ， 第 一 组 仿真 研究 在 公路 场景 下 由 车 辆 移动 
速度 造成 的 影响 ， 第 二 组 仿真 研究 在 公路 和 城市 〈 地 面 道路 ) 场景 下 由 车 辆 密 
度 造成 的 影响 。 

PD 矩阵 是 由 数据 包 在 发 送 方 应 用 层 生成 至 接收 车 辆 有 机 会 对 接收 到 的 数据 
做 出 反应 的 所 有 时 间 段 组 成 的 。 对 于 传统 的 基于 公 钥 的 协议 ,成功 传输 一 个 消息 
的 等 待 时 间 由 下 式 给 出 ; 
(M) + trans +t + Lug (Cert) + tus (M) (6. 14) 


trans queue 














sign 


对 于 TSVC 方案 ， 成 功 传输 一 个 消息 的 等 待 时 间 则 由 下 式 给 出 : 
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lrans T t queue + bverify (MAC) +1) _ hash (6. 15) 
方案 中 任何 由 加 密 操作 引起 的 延迟 均 被 自动 地 视 为 ns -2 仿真 延迟 ， 具 体 值 
根据 基于 加 密 库 MIRACLE [36] 的 算法 得 出 。 


6.4.1 车 辆 移动 速度 的 影响 


在 第 一 组 的 仿真 中 ,wv ( 即 车 辆 的 平均 速度 ) 的 变化 范围 为 10 ~ 40m/s 
(36 ~144km/h)。 最 初 的 车 辆 间距 为 30m。 针 对 PD 和 PLR 的 仿真 结果 如 图 6- 
13 所 示 。 在 这 两 个 方案 中 ， 速 度 的 变化 对 PD 和 PLR 的 影响 不 太 大 。 由 此 可 
以 看 出 ， 本 章 提 出 的 TSVC 方案 产生 较 大 的 PD 值 ， 该 值 相 对 于 密 钥 发 布 延迟 8 
来 说 是 可 以 忽略 的 。 对 于 TSVC 延迟 稍 大 于 100ms, 根据 [17] 2g ri ede 
人 的 反应 ,最 大 允许 消息 延迟 大 约 是 100ms。 因 此 ， 两 种 方案 都 可 满足 要 求 。 
对 于 PLR， 在 正常 的 交通 密度 下 与 基于 PKI 的 方案 相 比 ，TSVC 产生 的 丢 包 率 
要 低 得 多 。 












































PD 与 车 辆 移动 速度 的 关系 PLR 与 车 稍 移 动 速度 的 关系 
T 0.07 T T T 
ET PRI + PKI : 
TSVC TSVC ; 
; ] 0.06 上 ++: —— : AEN SEEE JEE 
; LIEST 4 e` ^ 
ini "T : ; ORB pesci erede uus teras ; 
O.lF- jus : Si pe EREE E. : "PPP : M Be A ZO ta : N * $ $ hi 
z € ool. 0:66 MS M : 
pa m l ; 
g E 
a 3 
m + l ; 
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图 6-13 ”车辆 移动 速度 的 影响 
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6.4.2 车 辆 密度 的 影响 

第 二 组 仿真 研究 了 公路 和 城市 交通 节点 密度 的 影响 。 城 市 交通 与 高 速 公 路 交 
通 具 有 不 同 的 交通 模型 ， 通 常 城市 交通 的 密度 要 高 于 高 速 公 路 上 交通 的 密度 。 从 
图 6-14 上 可 以 看 到 ，TSVC 具有 比 PKI 更 高 的 但 可 接受 的 包 延 迟 。 此 外 ， 这 两 种 
方案 的 包 延 迟 在 交通 密度 增加 时 不 会 有 很 大 的 变化 。 从 图 6-15 上 可 以 看 到 ， 传 
统 的 基于 公 钥 的 协议 要 面临 高 得 多 的 包 丢 失 率 ， 当 车 辆 密度 大 于 40 时 ， 将 达到 
47% ， 这 使 得 其 在 实际 使 用 中 变 得 不 可 行 。 然而， 本 章 提 出 的 TSVC 方案 的 丢 包 
率 是 稳定 的 ， 不 会 随 着 车 辆 密度 的 增加 而 发 生变 化 。 



















































































在 高 速 公路 上 PD 与 车辆 密度 的 关系 在 城市 中 PD 与 车 稍 密度 的 关系 
| E PRICED) ' * PKI( 城 市 ) 
: ， | "TSVC( 疝 速 公 路 ) : ' UO TSVCON di) 
gaias ied e: Ree itaq da Dites Dimas hsec a 
Hi a | | 
对 2 | 
g Es 1 
E à 
fF 1 
Vr ee ee ped 0.05} 4 
A ig a Tals 2 * TET TENE geet + 
wt t s : : ' pee : : 
0 20 40 60 80 100 . 50 100 150 
车 辆 密度 (节点 /km) 车 辆 密度 (节点 /km) 


图 6-14 PD 和 车 辆 密度 的 关系 
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在 高 速 公路 上 PLR 与 和牛 辆 密度 的 关系 
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在 上 城市 中 PLR '; 车 辆 密度 的 关系 
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图 6-15 PRL 和 车 辆 密度 的 关系 


结论 


6.5 Zt 


本 章 提 出 了 一 种 新 颖 的 TSVC 安全 方案 
方案 不 仅 满 足 了 各 种 安全 需求 和 驾 怠 人 的 隐 





延迟 方面 的 高 效率 。 本 章 通 


protocol,” CryptoBytes, vol. 5 no. 2, pp. 2-13, 2002. 


， 以 实现 高 效 和 安全 的 车 辆 通信 。 该 
私 需求 ， 还 实现 了 数据 包 开 销 和 计算 
过 严格 的 分 析 和 广泛 的 仿真 证 明了 它 的 实用 性 。 
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7.1 概述 


前 面 的 章节 讨论 了 车 辆 和 RSU 共同 工作 以 确保 每 辆 车 所 接收 消息 的 完整 性 
和 真实 性 。 第 5 章 描 述 了 RSU 辅助 消息 认证 的 方案 ， 这 里 RSU 负责 验证 来 自 于 
车 辆 的 消息 的 真实 性 ， 然 后 向 其 他 车 辆 发 送 验证 结果 。 因 为 该 方案 是 在 RSU fü 
助 下 使 用 MAC 验证 车 辆 之 间 的 通信 ， 所 以 该 消息 的 认证 处 理 过 程 适 用 于 车 辆 通 
信 。 但 是 ， 该 方案 要 求 RSU 直接 参与 消息 的 认证 过 程 。 在 没有 广泛 部 署 RSU 的 
情况 下 ， 例 如 在 VANET 部 署 的 早期 阶段 ， 这 种 方法 是 无 效 的 。 第 6 章 使 用 了 快 
速 对 称 加 密 技术 ， 它 允许 车 辆 彼此 合作 以 验证 接收 到 的 消息 。 它 是 一 个 基于 
TESLA (定时 高 效 流 损失 容错 认证 ) 的 技术 方案 ， 基 于 TESLA 的 方案 需要 预先 
为 一 个 给 定 的 车 辆 生成 多 个 散 列 链 。 车 辆 随机 选择 一 个 链 ， 并 向 周围 邻居 广播 链 
的 commitment。 该 消息 由 传统 的 基于 PKI 的 数字 签名 技术 提供 保护 。 然 后 车 辆 使 
用 链 中 的 元 素 生成 用 于 认证 消息 源 的 消息 验证 码 (MAC) 。 它 的 邻居 能 够 通过 这 
些 MAC 验证 相关 联 的 消息 。 但 是 车 辆 网 络 拓扑 结构 的 高 动态 性 可 能 会 影响 该 方 
案 的 有 效 性 。 

本 章 将 介绍 一 种 高 效 的 合作 式 消 息 认 证 方案 ， 该 方案 将 不 直接 涉及 一 个 可 信 
机 构 (TA) [1]。 该 方案 由 一 组 相 邻 的 车 辆 用 户 共同 执行 ， 通 过 必要 的 车 辆 间 
的 协调 ， 最 大 限度 地 减少 不 同 车 辆 针对 同一 消息 的 宛 余 认 证 工作 。 该 方案 还 鼓励 
合作 ， 并 能 够 防止 搭便 车 攻击 。 首 先 ， 本 章 建议 的 合作 认证 方案 并 不 涉及 车 辆 间 
的 互动 ， 通 过 大 量 的 仿真 为 车 辆 用 户 在 不 同 的 参数 设置 条 件 下 推导 出 最 佳 策略 。 
其 次 ， 为 了 抵御 那些 不 使 用 假 认证 成 果 的 搭便 车 攻击 (以 下 简称 被 动 搭便 车 攻 
击 ) ， 本 方案 加 入 了 证 据 令 牌 机 制 。 这 个 机 制 使 得 TA 能 够 根据 车 辆 的 合作 历史 
灵活 地 控制 那些 具有 合作 能 力 的 车 辆 。 合 作 车 辆 需要 进一步 地 提供 认证 证 明 ， 以 
便 抵抗 涉及 假 认 证 成 果 的 搭便 车 攻击 (以 下 简称 为 主动 搭便 车 攻击 )。 因 为 不 能 
自由 地 访问 其 他 人 的 合作 成 果 ， 所 以 可 以 有 效 地 阻拦 一 个 人 的 自私 行为 。 第 三 ， 
本 章 在 仿真 环境 中 评估 了 提出 方案 的 性 能 。 在 以 下 的 叙述 中 ， 术 语 “ 车 辆 ” “车 
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辆 用 户 ”“ 彼 驶 人 ”和 “用 户 ”是 可 以 互 换 的 。 

本 章 的 7. 2 节 给 出 了 问题 的 描述 ， 包 括 网 络 模 型 和 安全 模型 ，7.3 节 提 出 了 
合作 认证 方案 的 基本 版 本 ; 7.4 市 介 绍 了 针对 安全 问题 的 扩展 ; 7.5 节 和 7.6 78 
分 别提 供 了 所 提 方 案 的 安全 性 分 析 和 性 能 评估 ; 最 后 ，7.7 节 给 出 了 本 章 的 


结论 。 








7.2 ”问题 描述 


7.2.1 网 络 模 型 


本 章 考虑 一 个 由 大 量 车 辆 了 = ivi, vo, +, | 组 成 的 VANET 网 络 ， 车 辆 上 
安装 的 OBU 能 够 与 周围 其 通信 范围 ,内 的 邻近 车 辆 进行 通信 。 一 个 中 央 TA 向 
车 辆 用 户 提 供 注 册 服 务 ， 在 此 期 间 车 辆 的 假名 和 相应 的 秘密 信息 被 更 新 和 存储 在 
车 辆 的 OBU 中 。 有 限 数量 的 RSU 需要 部 署 在 VANET 中 。 当 车 辆 接近 RSU 时 ， 
TA 可 以 与 车 辆 用 户 通过 RSU 进行 无 线 通信 会 话 。RSU 具有 无 线 和 有 线 的 连接 方 
式 ，RSU 能 够 与 在 通信 范围 tr,( > or,) 内 的 OBU 进行 无 线 通 信 。 有 线 连接 允许 
RSU 之 间 以 安全 可 靠 的 方式 进行 通信 。 

为 了 达到 保护 位 置 隐私 [2] 的 目的 ， 本 章 采 用 了 多 项 假名 技术 。 具 体 
来 说 ， 是 将 一 组 非 对 称 密 钥 对 分 配给 车 辆 ， 然 后 将 公 钥 作为 假名 交替 使 用 。 
车 辆 随时 间 经 常 变 换 用 于 身份 验证 的 假名 ， 并 通过 新 旧 假 名 之 间 的 无 关联 性 
达到 保护 位 置 隐私 的 目的 。 如 果 车 辆 的 假名 用 完了 ，TA 会 将 新 的 假名 分 配 
给 车 辆 。 此 外 ，TA 可 以 将 假名 关联 到 一 个 特定 的 车 辆 ， 这 使 得 TA 能 够 跟踪 
和 控制 车 辆 的 行为 。 


7.2.2 安全 模型 


本 章 的 安全 模型 假设 所 有 车 辆 均 信 任 TA, 并且 任何 攻击 者 都 不 能 对 TA 造 
成 危害 。 本 章 不 考虑 车 辆 受 损 或 外 部 敌人 的 攻击 ， 而 只 关注 合作 认证 中 用 户 的 日 
私 行为 。 由 于 合作 认证 发 生 在 无 人 值守 和 自主 的 环境 中 ， 车 辆 可 能 会 自私 地 享受 
其 他 车 辆 的 认证 贡献 ， 却 很 少 做 出 自己 的 贡献 。 这 种 自私 的 行为 被 称 为 搭便 车 攻 
击 ， 它 对 合作 消息 认证 构成 了 严重 威胁 。 一 方面 ， 合 作 行为 可 以 在 很 大 程度 上 降 
低 每 全 车辆 的 认证 开销 ; 另 一 方面 ， 期 望 的 好 处 似乎 是 为 了 免费 ， 并 可 能 由 此 触 
发 搭便 车 攻击 。 本 章 考虑 以 下 三 种 类 型 的 安全 威胁 ; 

1) 链接 攻击 。 认 证 链接 对 于 TA 识别 行为 不 端的 用 户 是 必要 的 。 在 链接 攻 
击 中 ， 亚 意 用 户 谎 称 它 已 经 验证 了 多 个 消息 签名 对 ， 而 且 还 禁止 TA 追查 其 唯一 
的 标识 符 ， 以 逃避 处 罚 。 
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2) 无 认证 的 搭便 车 攻击 (或 被 动 搭便 车 攻击 )。 这 种 攻击 是 由 一 个 恶 
意 用 户 在 不 花费 代价 的 情况 下 享受 其 他 用 户 的 认证 成 果 ， 例 如 通过 被 动 地 监 
昕 附近 用 户 发 送 的 信息 。 它 减少 了 攻击 者 的 认证 开销 并 破坏 了 用 户 间 的 公 
TE. 

3) 假 认证 的 搭便 车 攻击 (或 主动 搭便 车 攻击 )。 这 种 攻击 是 由 一 个 主动 的 
恶意 用 户 发 出 ， 它 通过 生成 假 的 认证 而 参与 到 合作 认证 协议 中 。 考 虑 到 合作 认证 
处 理 过 程 中 的 异步 情况 ,攻击 者 检查 其 他 用 户 的 认证 成 果 ， 并 将 这 些 认证 成 果 伪 
造成 其 本 身 的 工作 。 通 过 这 样 做 ， 它 实际 上 并 没有 验证 任何 原始 的 消息 ， 但 却 提 
供 了 有 效 的 认证 成 果 ， 因 为 这 些 签名 已 经 被 其 他 人 检查 了 。 这 种 攻击 比 第 二 种 攻 
击 更 加 智能 ， 附 近 的 用 户 或 TA 几乎 不 可 能 将 其 检测 出 来 。 

为 了 抵御 这 些 攻击 ， 激 励 自 主 车 辆 之 间 的 合作 ， 确 保 合 作 中 的 公平 性 是 
非常 重要 的 。 具 体 而 言 ， 一 辆 车 付出 的 努力 越 多 ， 获 得 的 利益 也 越 多 。 换 句 
话说 ， 任 何 自私 用 户 不 可 能 在 它 本 身 不 做 任何 贡献 的 情况 下 而 享受 其 他 用 户 
的 工作 成 果 。 


7.3 ”基本 合作 认证 方案 


考虑 某 小 区 内 有 x 辆 车 ， 它 们 彼此 之 间 能 够 直接 进行 通信 ， 有 ;y 条 消息 提供 
给 这 些 车 辆 ， 每 条 消息 包含 一 个 唯一 的 索引 ， 并 附加 有 一 个 签名 。 这 x 辆 车 需要 
通过 验证 附加 在 消息 上 的 签名 来 认证 这 y 条 消息 。C, 表 示 验 证 一 个 签名 的 成 本 ， 
C, 表 示 产 生 一 个 签名 的 成 本 。 下 面 将 分 别 分 析 非 合作 式 认证 的 情况 和 合作 式 认证 
的 情况 。 

非 合作 情况 : 车 辆 不 在 消息 认证 上 进行 合作 。 它 们 各 自 独立 地 验证 y 个 
签名 。 每 台 车 的 验证 成 本 为 C* =yxC,， 所 有 % 辆 车 的 总 验证 成 本 为 x x 
yxC,, 

合作 情况 : x 辆 车 合作 认证 y 个 签名 。 和 车辆 六 的 合作 策略 可 以 描述 如 下 : 

1) 基于 (*，y) ， 车 辆 六 随机 选择 签名 并 认证 v, APOS, Syo AE 
签名 用 (s; 1…， Sn d 表示 ， 相 应 的 消息 由 (mii, 5. mi, ) 表示 。 

2) 用 户 v 对 消息 m; , 2 (mj 1, pid; 1) ll Oni Vy, y? pid; vs. ,) 生 成 一 个 集 
成 签名 sio BEK (mio s) 与 原始 消息 的 索引 一 起 发 送 给 邻近 的 车 辆 。 

3) FAP bv 认证 其 他 用 户 的 集成 签名 。 

4) HIP v; 认 证 那些 没有 被 集成 签名 所 和 窗 盖 的 其 余 签名 。 

在 步 又 1) 和 2) 中 ,车辆 六 做 ww ,认证 并 生成 一 个 签名 。 认 证 开销 在 这 两 
个 阶段 并 没有 减少 。 然 而 ， 在 第 3) 步 ， 对 剩余 的 y -—0, ,个 签名 ， 车 辆 六 并 不 需 
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要 做 y-w,, 个 认证 。 相 反 ， 它 验证 集成 签名 ， 每 个 覆盖 多 个 原始 签名 。 这 里 认 
为 所 有 的 车 辆 在 步骤 1 选择 相同 的 值 w ,， 并 且 每 台 车 辆 验证 所 有 的 集成 签名 。 
每 台 车 的 认证 开销 为 Cf? = («-1t+0,,) xC, +C; 所 有 车 辆 的 总 开销 为 x x 
[(x-l+v,,,y) XC,+C,]o 

图 7-1 显示 了 在 消息 验证 中 合作 的 好 处 ， 其 中 * = 10 的 用 户 拥 有 y=100 个 
普通 消息 一 签名 对 。 已 经 被 一 辆 车 验证 的 消息 的 数量 用 被 车 辆 执行 的 认证 数量 来 
表述 。 圆 和 加 号 线 表 示 合 作 / 非 合作 认证 的 性 能 。 阴 影 区 域 显示 了 通过 合作 认证 
可 以 获得 的 利益 。 例 如 : 如 果 一 辆 车 以 非 合作 方式 验证 39 个 签名 ， 则 它 获 得 了 
39 条 认证 的 消息 ; 如 果 一 辆 车 通过 以 上 介绍 的 合作 认证 了 (30-9) 个 签名 ， 则 
它 将 接收 87 条 验证 了 的 消息 。 由 此 可 以 看 出 ， 车 辆 可 以 通过 验证 9 个 集成 签名 
而 获得 较 大 的 好 处 。 就 w ,而 言 ， 方 块 线 表 示 已 经 被 集成 签名 覆盖 的 原始 签名 的 
数量 。 
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图 7-1 合作 的 收益 


当 每 辆 车 希望 验证 所 有 y 个 消息 ， 通 过 运行 一 个 100000 轮 的 仿真 以 获得 最 
佳 的 p = 内 ,， 以 便 各 车 辆 能 维持 一 个 最 小 的 认证 开销 。 本 书 选择 x =2, 4, 6, 
8, 10, 15, 20 和 y =100。 每 辆 车 的 开销 为 Ko) =(x-1 +p +100 -c,) x C, + 
C,， 其 中 o% 是 涵盖 所 有 集成 签名 的 原始 签名 的 数量 。 值 得 注意 的 是 ，(* -1) x 
C, 是 用 于 验证 集成 签名 的 开销 。 图 7-2 显示 了 仿真 结果 。7. 6 节 将 采用 该 结果 进 
行 性 能 分 析 。 
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需要 一 辆 车 汰 证 的 数量 














一 辆 车 所 集成 的 原始 签名 的 数量 
图 7-2 原始 签名 的 优化 数量 


7.4 ”安全 合作 认证 方案 


本 节 对 基本 方案 进行 了 改进 ， 以 应 对 自私 行为 。 据 观察 ， 如 果 一 辆 车 不 产生 
集成 签名 ， 它 总 是 能 够 比 那些 产生 签名 的 车 辆 在 消息 验证 上 消耗 更 少 。 因 为 
VANET 是 高 度 动态 的 环境 ， 且 需要 用 假名 保证 车 辆 的 隐私 ， 和 车辆 之 间 的 合作 可 
以 被 视 为 非 重 复 的 游戏 ， 这 种 缺陷 将 成 为 个 别 车 辆 实施 其 自私 方案 的 最 佳 策略 。 
为 了 克服 这 个 缺 隐 ， 本 节 引 入 一 个 证 据 - 令 牌 机 制 和 基于 里 份 的 签名 方案 ,然后 
提出 了 一 个 安全 合作 认证 方案 ， 为 车 辆 提供 一 种 高 效 安全 的 合作 平台 。 最 后 ， 还 
要 求 车 辆 输出 合作 证 明 验 证 彼此 认证 工作 的 源 发 性 。 输 出 这 种 证 据 是 为 了 以 合理 
的 合作 成 本 防止 伪造 认证 成 果 的 搭便 车 攻击 〈 或 主动 搭便 车 攻击 ) 。 


7.4.1 用 于 实现 公平 的 证 据 和 令 牌 


证 据 - 令 牌 机 制 的 基本 原则 是 在 车 辆 随时 间 推 移 所 付出 的 努力 与 该 车 辆 从 别 
人 那里 获得 的 好 处 之 间 进 行 平 衡 。 该 机 制 要 求 对 时 间 进 行 分 段 ，TA 负责 根据 时 
间 分 段 维持 这 一 平衡 。 当 车 辆 经 过 RSU 时 ，TA 通过 RSU 接收 来 自 车 辆 的 证 据 ， 
评估 它 在 过 去 时 间 段 所 付出 的 努力 ， 并 据 此 将 令 牌 发 送 回 车 辆 。TA 不 会 重复 利 
用 这 些 证 据 来 计算 它们 所 付出 的 努力 。TA 会 产生 令 牌 ， 并 将 其 分 发 给 车 辆 ， 以 
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便 它们 能 够 验证 其 他 车 辆 的 集成 签名 。 令 牌 必须 是 实时 性 的 ， 否 则 车 辆 可 能 在 获 
得 足够 多 的 令 牌 后 与 RSU 断 开 连 接 。 图 7-3 显示 了 证 据 - 令 牌 机 制 。 













在 时 
使 用 





:时 间 段 3 
明令 牌 











5& TA 
n RSU 
2 ed 千 辆 





图 7-3 证 据 - 令 牌 机 制 


7.4.1.1 车 辆 收集 的 证 据 

在 基本 方案 的 步骤 1) 中 ， 车 辆 认证 一 些 接收 到 的 原始 签名 ， 并 在 一 个 时 间 
段 内 生成 一 个 集成 签名 。 然 后 它 会 为 它 的 认证 成 果 创 建 一 个 证 据 ， 其 中 包括 该 时 
间 段 、 合 作 车 辆 的 数目 x、 原 始 签名 的 数目 y 以 及 包含 在 集成 签名 中 的 原始 签名 
的 数目 w,， 并 将 集成 签名 和 证 据 发 送 给 其 他 人 。 需 要 注意 的 是 ,证 据 是 无 法 伪 
造 的 ， 并 且 将 被 其 他 车 辆 公开 接收 和 验证 。 因 为 产生 和 传输 证 据 需 要 消耗 资源 ， 
所 以 每 辆 车 生成 的 证 据 的 数量 是 有 限 的 。 本 节 提 出 了 基于 地 理 信息 的 分 布 式 方 
案 ， 使 车 辆 能 够 意识 到 在 本 地 生成 证 据 的 责任 。 该 方法 随机 和 公平 地 分 配 生成 证 
据 的 工作 量 ， 并 尽量 减少 证 据 的 数量 。 这 也 使 好 的 车 辆 能 够 监视 潜在 的 恶意 
行为 。 

假设 车 辆 用 户 [oon vu] 都 知道 地 理 信息 (L, e, L), AF LÆ 
个 (纬度, 经度) 元 组 ,代表 用 户 六 的 位 置 ， 如 图 7-4 所 示 。 用 户 v 建立 一 个 
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图 7-4 车辆 的 极 坐标 系 


以 其 本 身 为 原点 、 以 向 东 的 方向 为 极 轴 的 极 坐 标 系 。 另 一 个 用 户 w 在 这 个 坐标 系 
统 中 有 其 唯一 的 极 坐 标 (r, aj) ， 其 中 六 是 w 和 之 间 的 距离 ，ow 是 角度 。 所 有 
其 他 车 辆 可 以 依据 其 极 坐标 以 递增 的 顺序 od; = {0 cn. w a 排序。 所 有 的 
FAP x 都 可 以 获得 od;。 本 方案 需要 为 证 据 生 成 设 定 一 个 时 间 上 限 。 用 户 vw 生成 
的 证 据 是 从 v; | 开始 的 。 

。 如 果 用 户 v | 在 给 定时 限 生成 了 一 个 证 据 ， 用 户 v ,将 会 根据 用 户 六 的 成 
果 检 查证 据 的 有 效 性 。 如 果 证 据 不 正确 ， 用 户 v, ,将 继续 等 待 。 

。 如 果 用 户 v, ,在 给 定 的 时 限 内 没有 从 v; 1 收 到 有 效 的 证 据 ， 用 户 v ,将 记 
录 下 用 户 v 1 这 个 不 负责 任 的 行为 及 其 当前 的 假名 。 然 后 它 将 在 下 面 的 时 间 段 内 
接管 六 的 证 据 生 成 责任 。 如 果 , 没 能 这 样 做 ， 则 用 户 v; 3 将 被 调用 。 因 为 每 个 
用 户 都 知道 自己 在 odi 上 的 顺序 ， 并 且 时 间 上 限 是 固定 的 ， 所 以 如 果 w -1 输出 这 
个 证 据 ， 用 户 v 将 负责 检查 v 的 证 据 。 如 果 检 查 失败 ， 用 户 w 将 生成 证 据 。 

由 于 车 辆 的 地 理 信息 完全 是 随机 和 不 可 预测 的 ， 车 辆 用 户 会 公平 地 共享 证 据 
生成 的 工作 。 当 证 据 的 数目 等 于 车 辆 的 数目 时 ， 分 配给 每 辆 车 的 证 据 的 数目 为 最 
小 。 如 果 某 辆 车 不 按 要 求生 成 证 据 ， 则 其 他 车 辆 将 记录 其 恶意 行为 ， 并 报告 给 
TA。 这 种 行为 也 将 被 认为 是 自私 的 。 需 要 注意 的 是 ， 有 一 种 特殊 的 情况 ， 即 所 
有 x -1 辆 车 都 是 不 负责 任 的 ， 但 出 现 这 种 情况 的 概率 是 非常 小 的 。 
7.4.1.2. 由 TA 生成 的 令 牌 

TA 能 够 平衡 车 辆 的 工作 量 和 使 车 辆 从 其 他 车 辆 获得 的 好 处 。 基 于 上 述 证 据 ， 
TA 检查 由 用 户 v 在 以 前 时 间 段 生成 的 集成 签名 s; ,的 数目 ， 然 后 根据 所 提供 的 证 
据 向 用 户 vw 分 配 多 个 令 牌 。 每 个 令 牌 仅 在 特定 的 时 间 段 内 有 效 。 如 果 用 户 BEE 
了 足够 的 证 据 证 实 其 正确 的 行为 ，TA 会 给 用 户 ww 分 配 大 量 的 令 牌 ， 使 六 可 以 在 
很 长 一 段 时 间 内 从 其 他 的 车 辆 获得 好 处 。 另 一 方面 ， 如 果 ~ 不 能 提供 预期 数量 的 
证 据 ，TA 会 给 vw 分 配 较 少 的 令 牌 ， 从 而 使 vb 在 与 下 一 个 RSU 联系 之 前 没有 足够 
的 令 牌 。 

本 章 在 安全 合作 认证 中 采用 了 基于 身份 的 签 密 (IBSC) 技术 [3, 4], IBSC 
方案 可 以 用 于 控制 认证 的 能 力 ， 例 如 验证 了 一 组 原始 签名 之 后 ， 用 户 可 以 加 密集 
成 签名 ， 使 得 其 他 用 户 在 进行 相应 的 解密 后 知道 哪些 签名 已 经 被 验证 。 具 体 来 
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Bi, IBSC 方案 包括 以 下 5 种 算法 : 设置 密 钥 生 成 ; 令 牌 生成 ; 签 密 ; 解密 和 
验证 。 

e 设置 : TA 选择 G 和 Gyr， 它 们 是 同一 个 大 序列 g 中 两 个 有 限 循环 组 。 假 设 
G 和 Gy 配备 成 一 个 配对 ， 即 一 个 非 退 化 和 高 效 的 计算 双 线 性 映射 e: G xG 一 
G +， 并 存在 Vg, heG, Va, beZ,, e(g", h’) =e(g, h)”[3], TA 选择 G 
组 的 一 个 生成 元 g。 此 外 ， 它 还 选择 随机 指数 Be Z ,及 两 个 加 密 散 列 函 数 H: 
(0, 1} *>GMA,:G,>{0, 1)”, ARB gu = a6。 该 系统 的 公共 参数 是 
(G, Gr, e, q, & Sp, H, HM, n). 

e UE: TA 将 伪 标 识 pid; 及 密 钥 psk; = QF =H(pid;)8 分 配给 用 户 v,。 

e SHER: 如 果 用 户 wv 在 过 去 的 时 间 段 1+-1 提供 了 的 足够 的 证 据 ， 则 TA 
为 时 间 段 1 向 包 分 配 志 .=H(1)8 个 令 牌 。 

e 签名 加 密 : 在 用 户 v 验 证 了 一 组 原始 签名 后 ， 它 对 随后 的 消息 m 计算 签 
名 并 对 其 加 密 ，m 表示 组 索引 。 用 户 vw 选择 一 个 随机 数 r, , re EZ,, 生成 一 个 集 
成 签名 Sise =(515 53) =(8 psk; © H(m)^), 并 输出 密 文 C = {Cm | 5; c) DA, 
Cetus H(t))), s 

e 解密 和 验证 : 如 果 用 户 六 已 经 获得 了 令 牌 四 ， 它 将 执行 解密 ， 并 通过 
m || sie 2 CO H, (e(g”, th,)) 获得 集成 签名 sieo 然后 通过 检查 是 否 存 在 
e(s,, g) =e(A(pid;) gy )e(H(m) , s, JOE EUER SI 7 m 的 组 。 

本 章 基于 IBSC 方案 设计 了 证 据 一 令 牌 机 制 ， 使 得 任何 没有 有 效 令 牌 的 用 户 
都 无 法 获得 集成 签名 。 该 IBSC 方案 可 以 有 效 地 控制 验证 能 力 ， 但 仍然 无 法 抵御 
搭便 车 攻击 。 例 如 如 果 一 个 恶意 用 户 直 接 使 用 他 人 的 合作 成 果 生 成 一 个 综合 签 
名 ， 即 使 它 根 本 没有 检查 原始 签名 ， 其 他 用 户 也 无 法 检测 到 这 种 恶意 行为 。 下 面 
的 章 市 将 要 求 每 个 用 户 额外 输出 认证 证 明 ， 以 表明 由 他 们 个 人 实现 的 认证 成 果 。 


7.4.2 认证 证 明 


7.4. 1 小 节 介绍 了 一 种 使 离线 的 TA 通过 RSU 协调 用 户 之 间 合作 的 方法 。TA 
平衡 个 体 之 间 的 贡献 和 回报 ， 尽 最 大 可 能 激励 用 户 的 合作 并 公平 对 待 所 有 用 户 。 
但 是 这 种 方法 无 法 抵抗 搭便 车 攻击 ， 用 户 无 法 区 分 一 个 认证 成 果 的 真实 性 ， 因 此 
TA 仍 会 向 攻击 者 颁发 有 效 的 令 牌 。 本 节 考虑 使 用 假 认证 成 果 的 搭便 车 攻击 (或 
主动 搭便 车 攻击 )， 攻 击 者 利用 其 他 用 户 的 认证 成 果 并 拒绝 在 合作 中 做 出 贡献 。 

具体 地 ， 考 虑 一 个 自私 的 用 户 wu 接收 来 自 多 个 用 户 wl ，up ，…， 吕 发 送 的 
合作 认证 成 果 e, en, =, ep, SEA 6 对 应 于 一 个 来 自 于 用 户 ww 的 成 果 ， 其 组 
索引 为 5 。 利 用 IBSC HR, 如果 6 包含 任何 不 正确 的 信息 ， 用 户 u 就 会 很 容 
易 地 被 监测 到 。 据 此 用 户 uw 假定 来 自 其 他 用 户 的 合作 成 果 是 有 效 的 ， 然 后 选择 
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一 个 索引 为 5$;,C Ut_15;. 的 子 集 组 ， 并 对 索引 为 5; 的 集合 生成 签名 作为 其 合作 认 
证 的 成 果 eo TE $ 中 所 有 签名 都 是 正确 的 情况 下 ， 其 他 用 户 将 不 能 检测 到 这 种 自 
私 行为 。 因 为 用 户 wu 没有 检查 $; 中 的 任何 原始 签名 ， 所 以 攻击 成 功 ， 从 而 获得 
了 最 大 的 好 人 处。 我 们 将 这 种 攻击 称 为 使 用 假 认 证 成 果 的 搭便 车 攻击 (或 主动 搭 
便 车 攻击 )。 

很 明显 ， 忆 这 种 自私 行为 对 于 其 他 参与 合作 的 用 户 来 说 是 不 公平 的 。 一 个 直 
接 的 解决 方案 是 要 求 用 户 同时 输出 其 合作 认证 成 果 ， 但 是 在 分 布 式 无 线 通信 的 情 
况 下 这 种 时 间 同 步 是 极为 困难 的 。 下 面 提出 了 能 够 有 效 抵御 上 述 自私 行为 的 新 认 
证 方案 ， 每 个 消息 附着 一 个 签名 ， 采 用 的 签名 方案 为 Schnorr 签名 [5] 。 

设置 与 IBSC 中 的 设置 算法 类 似 , 设 TA(G GT, e, q, 8, Epp: H)o TAX 
外 选择 组 G 的 生成 器 h， 并 计算 ,= 如 。 它 选择 xeZ，， 并 生成 y=g*. (x, y) 
作为 用 户 的 私有 -公共 密 钥 对 。 用 户 还 会 获得 关于 y 的 证 书 Cert, o 

该 方案 采用 Schnorr 签名 [5] 方案 。 考虑 消息 mi ，m,，…，mi 附 着 有 签名 
Si 52， 7, Sp, RPs, =(0;, ¢;,Q;) Lm; =r; -xe;, Rig", Qi = gn， FF He; = 
H(m; || R; || Q:) © 

用 户 合 作 认证 这 此 个 签名 。 在 每 个 验证 中 ， 用 户 将 (DD 计算 R'; = "y", DHA 
MESE e; =H(m; || R'; 上 0;)。 很 明显 ， 步 又 @ 涉 及 两 个 指数 操作 ， 同 时 步 又 
@ 需 要 一 个 相等 性 检查 。 

考虑 用 户 uw 决定 对 消息 m, (x e 7 了) 做 合作 认证 。wi 当 前 使 用 化 名 pid;, FEE 
具有 密 钥 psk'; = H(pid;)'“*。 为 了 使 别人 确信 它 确 实 检查 了 这 个 签名 ，u; 将 输出 
一 个 证 明 F; = (Eis F; 2) -(A* CIL; zz R',)? * psk’;) ,其 中 a eZ ,是 随机 选择 
的 。 证 明 将 被 答 人 集成 签名 消息 中 (以 前 仅 包 含 签 名 的 索引 )。 注 意 ， 认 证 证 明 
天 不 包括 签名 索引 ， 并 且 验 证 者 必须 使 用 集成 签名 来 检查 应 索引 的 组 。 

对 于 证 明 已 ， 其 他 用 户 均 能 够 使 用 下 列 公式 检查 wu 是 否 已 经 检查 了 签名 : 

e(F; 2, hu) = e(CIIR', ) : psk';, Jiu) 
xe 


= e([T0.. F, ,)e(H(pid;) sh) 


el 
注意 ， 丈 是 利用 psk’; 生成 的 ,并且 不 能 被 其 他 用 户 重复 使 用 。 为 了 提供 一 
个 证 明 F;,， 用 户 本 里 必须 对 每 个 签名 执行 双 指 数 操作 ， 然 后 用 户 六 需要 消耗 单 
独 的 成 果 来 证 明 它 的 合作 成 果 。 需 要 注意 的 是 ， 因 为 ,不 透露 任何 索引 信息 ， 
所 以 如 果 没 有 有 效 的 令 牌 ， 用户 就 无 法 获得 正确 的 索引 人 信息。 这样， 验证 功能 能 
够 被 TA 有 效 地 控制 ， 并 且 可 以 有 效 地 抵制 使 用 假冒 认证 成 果 的 搭便 车 攻击 (或 
主动 搭便 车 攻击 ) 。 
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7.4.3 方案 的 流程 


针对 地 理 上 邻近 的 一 些 用 户 及 一 组 公共 消息 签名 对 ， 本 节 讨 论 的 安全 合作 认 
证 方案 如 图 7-5 所 示 。 每 个 用 户 随 机 选择 并 验证 原始 签名 vw,,， 并 生成 一 个 集成 
签名 作为 自己 的 认证 成 果 ， 可 以 根据 7.3 节 的 描述 计算 v, ,的 值 。 此 外 ， 用 户 还 
生成 一 个 认证 证 明 ， 以 证 明 它 确 实验 证 了 这 些 原始 签名 。 之 后 他 向 外 公布 其 认证 
证 明 。 当 用 户 能 够 与 RSU 进行 通信 时 ， 用 户 就 向 RSU 发 送 这 个 作为 认证 证 明 的 
证 据 。RSU 就 会 检查 证 据 的 有 效 性 ， 并 向 用 户 提供 可 以 在 后 续 时 间 段 中 用 来 验 
证 合作 认证 成 果 的 新 令 牌 。 




































认 让 让 只 + | 和 白 己 的 认证 成 果 

















让 据 











图 7-5 安全 合作 认证 方案 流程 图 


7.5 ”安全 性 分 析 


本 节 将 分 析 该 方案 是 如 何 有 效 地 抵御 链接 性 和 搭便 车 攻击 的 。 
7.5.1 链接 性 攻击 


在 这 种 攻击 中 ， 攻 击 者 会 产生 集成 签名 。 并 禁止 TA 追踪 其 身份 签名 。 因 为 
产生 一 个 集成 签名 要 求 攻击 者 输入 一 个 化 名 密 钥 psk;， 所 以 所 生成 的 签名 被 链接 
到 相应 的 假名 。TA 记录 着 从 假名 到 标识 的 有 映射， 能够 恢复 攻击 者 的 身份 ， 因 此 
该 方案 能 够 阻止 链接 性 攻击 。 


7.5.2 没有 认证 成 果 的 搭便 车 攻击 
在 这 种 攻击 中 ， 攻 击 者 并 没有 验证 任何 原始 签名 ， 但 获得 了 来 自 其 他 合作 用 
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户 的 认证 成 果 。7. 3 节 描 述 的 基本 合作 认证 方案 没有 采用 任何 安全 机 制 来 抵御 这 种 
攻击 。7.4.1 市 设计 了 一 个 证 据 - 令 牌 机制 用 来 应 对 这 种 攻击 。 在 与 邻近 的 用 户 共 
享 其 认证 成 果 后 ， 用 户 获得 了 一 个 来 自 某 随机 邻居 的 不 可 伪造 的 证 据 。 然 后 其 利用 
该 证 据 与 TA 进行 交易 ， 以 获得 新 的 令 牌 。 只 有 使 用 新 的 令 牌 ， 用 户 才 可 以 在 随后 
的 时 间 段 中 分 享 附近 用 户 的 认证 成 果 。 如 果 用 户 没有 进行 任何 合作 将 不 能 获得 令 
牌 ， 从 而 不 能 从 其 他 用 户 那 里 获得 好 处 。 因 此， 无 认证 成 果 的 搭便 车 攻击 (或 被 
动 搭便 车 攻击 ) 被 阻止 了 。 下 一 节 将 通过 仿真 证 明证 据 - 令 牌 机 制 的 有 效 性 。 


7.5.3 用 假 认 证 成 果 的 搭便 车 攻击 


在 这 种 攻击 中 ， 攻 击 者 通过 将 附近 用 户 的 认证 成 果 变 成 其 自己 的 集成 签名 而 
假装 参与 合作 认证 活动 ， 例 如 两 个 用 户 分 别 产生 对 应 于 索引 集 |1, 2, 3| 和 
(4, 5, 6) 的 两 个 集成 签名 ， 攻 击 者 可 以 据 此 生成 对 应 于 索引 集 12, 3, 5] 的 
集成 签名 。7. 4. 2 小 节 介 绍 了 一 种 防御 机 制 ， 该 机 制 要 求 用 户 输出 认证 证 明 。 认 
证 证 明 是 验证 原始 签名 的 证 据 ， 原 始 签名 由 三 个 要 素 (m; Rio Qi) 构成 。 验 


证 包括 两 个 步骤， 一 种 是 计算 R', may, 另 一 种 是 检查 等 式 e。 o HO; || R | 
Q;) 。 该 验证 的 主要 计算 开销 来 自 两 个 指数 操作 。 用 户 心 的 认证 证 明 是 = 
(天 下)=( , CIL zR',)* * psk';) ;. WAR uth F, CUMA (m, 8, )re7 
执行 所 有 的 指数 操作 。 此 外 ， 因 为 产生 已 涉及 假名 密 钥 poh", ， 所 以 必须 独立 处 
理 不 同 用 户 的 认证 证 明 。 因 此 用 户 不 能 通过 产生 假 认 证 成 果 来 节省 它 的 计算 成 
本 。 至 此 ， 使 用 假 认证 成 果 的 搭便 车 攻击 (或 主动 搭便 车 攻击 ) 被 有 效 抵制 。 

















7.6 ”性 能 评估 


为 了 深入 评价 所 提出 的 安全 合作 认证 方案 的 性 能 ， 本 节 使 用 了 一 组 定制 的 
Java 仿真 着 。 下 面 将 详细 介绍 仿真 的 设置 ， 并 给 出 仿真 结果 。 


7.6.1 仿真 设置 


本 节 考 虑 一 个 相对 较 小 和 典型 的 VANET， 其 中 w= (20, 40, =, 200) 的 
装备 着 OBU 的 车 辆 用 户 被 均匀 地 部 署 在 10000m x 10000m 的 区 域 中 。 每 个 OBU 
的 无 线 传 输 范 围 为 300m。 在 该 区 域 随机 部 署 10 个 聚集 点 ， 点 的 索引 值 为 1 ~ 10, 
JH $, 表 示 。 在 四 个 随机 选择 的 聚集 点 4、6、8 、10 分 别 布置 了 一 个 传输 半径 为 
1000m、 具 有 较 大 存储 能 力 的 RSU 设备 ， 它 们 将 辅助 用 户 与 TA 进行 通信 。 每 个 
车 辆 用 户 都 有 一 个 固定 的 聚集 点 集合 SCS, APES |5;|<10。 用 户 随机 地 从 
这 个 集合 中 选择 一 个 聚集 点 ， 并 以 10m/s 的 平均 速度 沿 最 短路 径 到 达 那 里 。 到 
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达 聚 集 点 后 ， 它 在 该 点 最 多 停留 Smin， 然 后 转移 到 另 一 个 从 集合 中 随机 选择 的 
聚集 点 。 

仿真 持续 10000s。 在 每 100s 内 ， 每 个 用 户 都 需要 使 用 非 合作 方案 单独 认证 
100 条 公共 消息 签名 ， 或 者 使 用 本 章 提出 的 合作 方案 合作 认证 这 100 条 公共 消息 
签名 。 可 以 通过 V2V/V21 通信 或 3G/ 蜂 窒 网 络 来 获得 这 些 消息 和 相应 的 签名 。 
仿真 参数 包括 用 户 的 数量 (20，…，200) ，RSU 的 数量 (4, 6, 8, 10), HIA 
牌 的 寿命 (100, 300, 600, 1000) s。 对 每 个 情况 进行 100 次 仿真 运行 ， 得 到 了 
超过 10000s 的 f(p) (定义 在 7.3 WP) 的 累计 努力 的 平均 结果 ， 并 将 结果 绘制 
在 图 7-6 中 。 
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图 7-6 仿真 结 


7.6.2 仿真 结果 


图 7-6 给 出 了 三 种 设置 下 仿真 的 结果 ， 加 “。” 的 横 线 表示 非 合 作 式 认证 方 
案 的 性 能 。 从 结果 可 以 看 出 ， 用 户 超过 10000s 的 总 的 平均 成 果 是 10000。 这 是 因 
为 每 个 用 户 每 100s 需要 认证 100 条 消息 ， 总 共有 100 x (10 000/100) = 10 000 个 
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消息 认证 。 加 “x ”的 线 表示 无 自私 行为 合作 认证 方案 的 性 能 。 因 为 用 户 都 按 
最 优 方式 行动 ， 所 以 它们 可 以 得 到 最 大 的 合作 利益 。 随 着 用 户 数 量 的 增加 ， 需 要 
单个 用 户 执行 的 认证 努力 将 显著 降低 。 

其 余 的 线 表示 考虑 到 自私 行为 的 合作 认证 方案 的 性 能 。 为 了 防止 自私 用 户 发 
动 搭便 车 攻击 ，TA 采用 建议 的 证 据 - 令 牌 机 制 来 控制 用 户 的 合作 能 力 。 可 以 看 
出 ， 在 设 定 为 200 用 户 的 情况 下 ， 通 过 将 ni, 值 减 小 和 将 合作 时 间 从 1000s 减 小 至 
100s， 每 个 用 户 的 认证 成 果 增加 了 1721， 即 从 7485 增 至 9206。 从 图 7-2 可 以 看 
出 在 设 定 为 20 个 用 户 的 情况 下 ， 一 个 用 户 需 要 为 100 个 消息 -签名 对 执行 38 次 
认证 。 在 这 种 情况 下 ， 一 个 自私 用 户 vw, 在 1000s 的 有 效 期 间 内 获得 的 最 大 收益 为 
38 x (1000/100) =380 <1383。 因 此 ，TA 可 以 将 ni, 设 定 为 适当 的 值 ， 并 将 用 户 
v; 的 令 牌 有 效 期 在 1000s, 600s, 300s 和 100s 中 进行 调节 。 通 过 这 样 做 ， vw, 获得 
的 收益 可 降低 到 0 或 负 值 ， 并 且 它 的 认证 尝试 并 不 比 其 他 合作 用 户 少 。 因 此 ， 该 
方案 可 有 效 制止 用 户 犯 错 的 冲动 和 抵御 搭便 车 攻击 。 

通过 比较 图 7-6 中 a~d 部 分 可 以 看 出 ， 当 RSU 的 数量 小 时 ， 所 需 尝试 的 
差异 变 小 。 例 如 ， 在 200 个 用 户 和 令 牌 寿命 为 100s 的 情况 下 ， 在 设置 4 个 RSU 
的 情况 下 所 需 的 认证 尝试 要 比 在 设置 10 个 RSU 的 情况 下 大 得 多 。 主 要 的 原因 
是 ,在 前 者 的 情况 下 用 户 有 较 小 的 概率 与 RSU 联系 。 这 表明 ， 拥 有 100s 有 效 期 
令 牌 的 用 户 在 认证 中 进行 合作 的 机 会 较 少 ， 因 为 它们 不 能 及 时 更 新 其 令 牌 。 因 
此 ， 确 定 令 牌 的 有 效 期 不 但 要 考虑 用 户 的 自私 行为 ， 还 要 考虑 用 户 和 RSU 的 数 
量 。 所 选择 的 方案 必须 要 确保 减 小 令 牌 的 有 效 期 作为 惩罚 ， 并 可 由 此 导致 合作 认 
证 的 收益 减少 。 
































7.7 tit 


本 章 提 出 了 一 个 应 用 于 VANET WT ATA UGE 2S. HAT, E 
辆 用 户 可 以 在 不 通过 可 信 机 构 (TA) 的 情况 下 进行 合作 ， 以 验证 一 组 消息 - 签 
名 对 。 此 外 可 以 通过 证 据 - 令 牌 的 方法 有 效 地 阻止 自私 用 户 发 起 的 无 认证 尝试 的 
搭便 车 攻击 (或 被 动 搭便 车 攻击 ) 。 可 以 通过 要 求 车 辆 用 户 输 出 他 们 的 认证 证 据 
而 有 效 地 阻止 使 用 假 认 证 尝试 的 搭便 车 攻击 (或 主动 搭便 车 攻击 )。TA 基于 所 
收集 的 证 据 策 略 性 地 调整 颁发 给 车 辆 用 户 的 令 牌 有 效 期 ， 从 而 定期 地 控制 车 辆 用 
户 的 合作 能 力 。 仿 真 结果 证 实 ， 所 建议 方案 能 够 显著 降低 车 辆 用 户 用 于 认证 签名 
的 计算 开销 ， 并 使 TA 能 够 灵活 地 平衡 车 辆 用 户 在 合作 认证 期 间 从 别人 那里 获得 
的 利益 和 向 其 他 合作 伙伴 提供 的 努力 。 
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8.1 概述 
在 日 常生 活 中 ， 道 路 紧急 情况 会 经 常 出 现 ， 造 成 这 种 情况 的 原因 多 种 多 样 ， 


如 恶劣 的 路 面条 件 、 不 适当 的 车 辆 设计 、 不 正确 的 道路 设计 、 糟 糕 的 驾驶 技术 和 
不 良 的 驾驶 习惯 (如 无 视 交 通 标志 、 超 速 等 )。 同 样 在 恶劣 的 天 气 情况 下 (如 大 
风暴 ) ， 由 于 驾驶 人 的 能 见 度 变 得 很 差 .通常 可 以 看 到 很 多 交通 事故 和 伤害 ， 当 
出 现 多 辆 车 的 连环 碰撞 事故 时 ， 情 况 会 变 得 很 糟糕 ， 特 别 是 当 其 他 正在 接近 的 轰 
驶 人 由 于 无 法 预测 发 生 在 他 们 前 面 的 危险 情况 而 不 能 及 时 停止 的 时 候 ， 事 故 会 迅 
速 变 得 更 加 糟糕 。 参 考 文献 [1] 中 的 例子 描述 了 当 所 有 的 错误 都 聚集 在 一 起 时 
会 发 生 什 么 情况 ， 在 宾夕法尼亚 州 ， 因 冬季 风暴 和 冻雨 有 50 辆 车 发 生 了 连环 相 
撞 事 故 ， 当 时 因为 天 气 的 原因 ， 道 路 变 得 越 来 越 湿 滑 ， 能 见 度 很 差 。 当 车 辆 到 达 
事故 现场 时 ， 许 多 驾驶 人 失去 了 对 车 的 控制 ， 进 而 发 生 了 无 可 避免 的 碰撞 。 
严重 的 事故 可 以 造成 财产 损失 、 身 体 残 疾 ， 甚 至 死亡 ， 如 果 在 驾驶 人 到 达 事 
故 现场 前 能 够 向 他 发 出 警告 ， 可 以 给 驾驶 人 足够 的 时 间 做 出 适当 的 反应 ， 从 而 减 
少 交 通 事 故 的 发 生 。 有 目前 有 许多 方法 可 以 防止 汽车 事故 的 发 后， 其 中 车 辆 专用 网 
络 (VANET) 技术 被 认为 是 改善 道路 安全 的 理想 解决 方案 ， 该 通信 技术 可 实现 
车 辆 之 间 的 通信 ， 并 进而 使 相关 车 辆 内 的 各 种 应 用 协调 工作 和 应 对 紧急 事件 。 
图 8-1 给 出 了 VANET 技术 的 例子 ， 当 道路 上 发 生 了 交通 事故 ， 并 且 堵 塞 了 
左 侧 车 道 ， 一 个 路 边 单元 (RSU) 检测 这 种 情况 ， 并 将 此 信息 转发 给 其 他 车 辆 。 
当 驾 驶 人 接近 事故 现场 时 ，RSU 将 左 侧 车 道 被 关闭 的 消息 通知 给 他 们 。 在 可 能 
的 情况 下 ， 那 些 离 事故 现场 较 近 一 些 的 车 辆 可 能 被 指示 尽早 离开 公路 ， 由 于 驾驶 
人 能 够 在 看 到 事故 现场 之 前 避让 了 ， 所 以 可 以 减少 受阻 车 量 在 该 地 区 的 不 断 增 
































长 ， 而 且 紧 急救 援 人 员 也 可 以 更 快 地 到 达 事 故 现场 ， 防 止 堵塞 情况 的 进一步 
恶化 。 


通过 VANET 技术 能 够 实现 车 对 车 (V2V) 和 车 对 基础 设施 (vor) 的 数据 
传输 ， 从 而 提高 道路 的 安全 性 。 但 是 如 果 没 有 适当 的 安全 保障 措施 ， 这 样 一 个 有 
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O 办 交通 事 疏 关闭 了 左 车 道 ， 请 准备 切换 到 
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O 办 交通 事故 关闭 了 左 车 道 ， 你 可 以 选择 
出 11278 以 避免 交通 堵塞。 
图 8-1 使 用 VANET 处 理 道路 应 急 响应 的 例子 





称 前 方 有 实际 上 并 不 存在 的 交通 堵塞 ， 如 图 8-2 所 示 。 
通信 技术 
— 802.11p $ 


















实际 上 没有 





图 8-2 发 送 虚 假 交 通信 息 的 例子 
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这 些 假 消息 所 造成 的 结果 是 驾驶 人 可 能 不 太 相信 紧急 消息 ， 目 前 已 经 有 这 种 
类 型 的 行为 出 现 并 造成 了 一 定 的 影响 ， 提 供 真正 的 警告 对 于 公共 安全 至 关 重 要 ， 
最 近 发 生 在 纽 芬兰 的 驼 鹿 与 车 辆 碰撞 事故 的 增加 突出 了 可 信赖 紧急 信息 [2] 的 
重要 性 。 加 拿 大 纽 芬兰 地 区 部 署 了 驼 鹿 检 测 系 统 ,，“ 假 驾驶 人 舒适 性 ”现象 也 恰 
恰 发 生 在 那里 。 当 驼 鹿 检测 系统 在 道路 上 探测 到 驼 庵 时 ， a 
闪烁 ， 以 通知 驾驶 人 道路 上 有 驼 鹿 在 游荡 。 然 而 由 于 较 高 的 误 报 率 (FPR) ， 
电脑 检测 系统 并 不 能 如 实 提醒 驾驶 人 ， ea A 
没有 驼 鹿 在 附近 徘徊 ， 从 而 高 速 通过 该 区 域 。 自 从 应 用 了 驼 庵 检测 系统 ， 驼 鹿 与 
车 辆 的 碰撞 事故 实际 上 是 增加 了 。 因 此 ， 为 了 使 驾驶 人 能 够 正确 地 响应 ， 紧 急 信 
息 必 须 是 可 信和 受到 保护 的 。 本 章 将 特别 聚焦 于 VANET 紧急 消息 的 可 信 性 

8.2 节 将 讨论 VANET 中 消息 的 可 信 度 问题 ; 8. 3 节 提 出 了 系统 模型 、 攻 击 
模型 和 设计 目标 ; 8.4 节 给 出 了 一 些 初步 的 背景 ;8.5 节 详 细 介 绍 了 AEMAT 
方案 ; 8.6 WAM 8.7 节 分 别 给 出 安全 分 析 和 性 能 分 析 ; 最 后 ，8. 8 市 给 出 了 本 
音 的 结论 。 




















8.2 VANET 中 的 可 信 消 息 


目前 有 许多 可 信安 全 机 制 和 协议 可 以 保护 VANET 中 的 消息 和 确保 消息 的 完 
整 性 与 起 源 性 (也 被 称 为 消息 认证 或 数据 源 认证 )。 对 于 消息 认证 ， 如 果 消 息 从 
发 送 方 传送 至 接收 方 的 过 程 中 没有 被 改变 ， 并 且 接 收 方 能 够 确信 该 信息 确实 是 从 
发 送 方 发 送 的 ， 则 可 以 确定 该 消息 是 可 信 的 。 但 是 这 种 思维 方式 是 有 缺陷 的 ， 以 
图 8-2 中 描述 的 使 用 虚假 交通 信息 的 场景 为 例 ， 在 这 种 情况 下 并 没有 办 法 保证 个 
体 (如 发 送 方 ) 所 说 的 是 实话 。 如 果 这 种 情况 发 生 在 VANET 中 ， 后 果 可 能 是 非 
常 昂 贵 甚至 是 致命 的 。 

现 有 的 安全 机 制 可 以 很 容易 地 过 滤 由 外 部 攻击 者 伪造 的 紧急 消息 ， 但 是 
来 自 于 内 部 的 攻击 则 是 更 大 的 挑战 。 当 前 可 以 经 常 看 到 某 些 人 的 驾驶 方式 非常 
有 侵略 性 ， 因 此 如 果 某 些 合法 用 户 成 为 恶意 用 户 也 是 毫 不 奇怪 的 ， nee 
通行 优势 而 广播 虚假 的 紧急 消息 (例如 为 创造 更 好 的 驾驶 条 件 告诉 其 他 驾驶 人 
避 开 那些 并 不 存在 的 交通 堵塞 )。 可 追溯 性 和 有 条 件 的 隐私 成 为 重要 的 特性 ， 知 
这 些 因素 被 放置 在 消息 内 时 ， 当 紧急 消息 被 证 明 是 假 的 时 ， 就 可 以 发 现 作 假 者 的 
真实 身份 ， 这 将 在 一 定 程 度 上 遏制 这 种 犯罪 行为 。 但 实际 情况 是 这 一 问题 并 不 会 
完全 消失 。 司 法 机 构 已 经 通过 各 种 活动 投入 了 大 量 的 精力 ， 以 制止 各 种 野 亦 驾驶 
行为 ， 如 “停止 野蛮 驾驶 ”， 但 是 路 上 仍然 有 很 多 野蛮 驾 驶 人 。 部 分 原因 是 因为 
对 野蛮 驾 驶 的 处 罚 并 不 重 〈 例 如 ，500 美元 的 罚款 对 一 个 非常 富有 的 野蛮 驾驶 人 
的 影响 并 不 大 ) 。 同 样 的 事情 肯定 会 发 生 在 假冒 紧急 消息 罪犯 上 。 更 重要 的 是 这 


135 














eee 车 载 ad hoc 网 络 的 安全 性 与 隐私 保护 


些 事后 的 应 对 措施 对 于 危害 车 辆 安全 的 应 用 来 说 是 不 能 接受 的 ， 尤 其 是 在 危及 生 
命 的 紧急 情况 出 现时 。 由 于 伤害 已 经 造成 [3] ， 这 些 惩 罚 对 于 事件 来 说 为 时 已 
晚 。 男 外 ， 在 这 样 一 个 高 度 动态 和 有 大 量 潜在 车 辆 节点 的 网 络 环境 中 ， 常 规 的 安 
全 机 制 (如 公 角 证书 和 数字 签名 ) 是 不 够 的 ， 对 手 仍然 可 以 通过 危害 一 个 或 多 
个 节点 而 发 动 攻击 ， 然 后 使 用 其 他 用 户 的 凭证 传播 错误 的 紧急 消息 。 由 此 可 见 ， 
对 于 车 辆 安全 应 用 所 广播 的 紧急 消息 来 说 ， 可 信和 是 其 另 一 个 重要 的 特性 。 可 信 代 
表 接 收 方 对 紧急 消息 的 信任 程度 ， 以 便 接收 方 能 够 做 出 正确 的 决定 ， 避 人 免 潜 在 的 
伤害 。 若 没有 这 个 属性 ， 驾 怠 人 将 很 容易 成 为 野蛮 或 恶意 驾驶 人 的 受害 者 。 

在 大 多 数 情况 下 ， 消 息 通 过 VANET 网 络 多 跳 传输 进行 传播 ， 特 别 是 在 RSU 
较 少 的 郊区 。 因 此 将 紧急 消息 高 效 地 传播 到 目标 区 域内 的 车 辆 就 变 得 非常 重要 ， 
将 紧急 情况 和 当地 的 警告 信息 快速 传播 给 正在 接近 的 车 辆 可 以 有 效 地 预防 第 二 波 
事故 的 发 生 ， 之 前 的 很 多 研究 都 集中 在 VANET 数据 的 传播 上 [4, 5]， 然 而 安 
全 问题 特别 是 在 VANET 中 如 何 保证 紧急 消息 的 真实 性 和 可 信人 性 仍然 是 个 很 大 的 
挑战 。 首 先 ， 由 于 在 VANET 中 大 部 分 性 命 侯 关 的 应 用 都 依赖 多 跳 传 输 将 数据 传 
播 到 周围 的 地 理 区 域 ， 在 传播 过 程 中 对 手 可 能 有 意 修改 (其 至 伪造 ) 无 效 的 紧 
急事 件 ， 这 可 能 对 道路 交通 安全 构成 严重 威胁 。 其 次 ， 在 VANET 这 样 一 个 拥有 
潜在 车 辆 节点 的 高 度 动态 的 网 络 环境 中 , 现 有 的 安全 机 制 (如 公 钥 证 书 和 数字 
签名 ) 并 不 足以 保证 VANET 的 安全 性 ， 对 手 仍然 可 以 通过 危害 一 个 或 多 个 节点 
来 发 动 攻 击 ， 然 后 使 用 其 他 用 户 的 凭证 传播 虚假 的 紧急 消息 。 男 一 方面 ， 对 于 任 
意 给 定 的 紧急 事件 ， 期 望 有 多 个 检测 车 辆 能 够 检测 到 这 个 公共 事件 。 如 图 8-3 所 
示 ， 检 测 车 辆 不 仅 包括 当前 的 证 人 车 辆 ， 而 且 还 包括 正在 迅速 接近 紧急 事件 的 潜 
在 证 人 车 辆 。 其 结果 是 它们 可 以 一 起 协同 工作 ， 以 证 明确 实 发 生 了 紧急 事件 。 
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图 8-3 VANET 中 紧急 事件 检测 
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值得 一 提 的 是 ， 可 以 通过 手动 或 自动 来 完成 紧急 事件 的 检测 ， 现 在 的 汽车 传 
感 需 可 以 自动 地 检测 到 和 车祸， 并 提醒 正在 接近 事故 现场 的 车 辆 。 考 虑 其 他 检测 车 
辆 的 共同 看 法 ， 可 实现 对 紧急 消息 的 交叉 验证 ， 作 为 提高 VANET 整体 安全 级 别 
的 一 个 方法 ， 这 种 方法 已 经 应 用 在 其 他 领域 ， 如 网 页 可 信 等 级 的 评定 。 这 种 通过 
收集 证 人 反馈 信息 而 实现 紧急 事件 交叉 检查 的 方法 实际 上 是 一 种 投票 机 制 ， 该 机 
制 原本 是 用 于 检测 分 布 式 自 组 织 网 络 中 行为 不 端的 节点 ， 该 机 制 不 需要 设置 中 心 
安全 机 构 [6]。 将 该 机 制 迁移 到 VANET 中 ， 可 以 提升 紧急 事件 认证 的 整体 安全 
性 [7，8] 。 这 种 方法 统称 为 先 验 对 策 。Raya 等 [7] 实现 了 基于 位 置 的 组 表决 
方案 ， 将 和 车辆 按照 其 位 置 进行 分 组 ， 每 个 组 内 选举 一 个 组 长 ， 该 组 长 需要 从 多 于 
ARIE k 的 不 同 的 证 人 收集 下 个 采样 ， 来 证 明 紧 急事 件 的 有 效 性 。 然 而 基于 组 
的 投票 机 制 面临 着 VANET 高 度 动态 的 网 络 拓 扑 所 带 来 的 挑战 ， 从 而 需要 额外 的 
开销 来 维持 基于 位 置 的 组 。 此 外 ,在 车 辆 密度 较 低 的 区 域 ， 组 长 可 能 面临 着 不 能 
收集 到 超过 并 个 支持 签名 的 情况 。Ostermaier 等 [8] 对 该 投票 概念 进行 了 扩展 ， 
提出 了 “目的 地 投票 ”策略 ， 证 人 将 不 断 地 产生 紧急 消息 ， 并 将 它们 发 送 到 远 
方 的 车 辆 ， 这 些 车 辆 将 检查 大 多 数 消 息 是 否 是 一 致 的 ， 并 做 出 决定 。 现 有 投票 机 
制 依赖 于 一 个 预定 的 阀 值 ， 但 在 某 些 环境 下 它 可 能 会 面临 不 能 收集 到 多 于 大 个 文 
持 签名 的 情况 ， 从 而 使 其 变 得 不 可 行 。Daza 等 [3] 提出 了 一 种 灵活 的 阔 认 证 协 
议 ， 通 过 确定 所 接收 到 的 消息 是 否 已 经 由 至 少 上 台 车 辆 核准 ， 车 辆 可 以 验证 所 接 
收 的 消息 的 可 信和 度 ， 浆 值 上 可 根据 周围 的 环境 动态 地 调整 (例如 ， 当 周围 有 100 
辆 车 时 的 阀 值 要 高 于 周围 有 10 辆 车 的 情况 ) 。 

现 有 的 投票 机 制 公 平地 对 待 所 有 投票 者 ,但 是 该 机 制 并 没有 将 突 发 事件 证 人 
的 可 信 等 级 考虑 在 内 ， 因 此 并 不 能 很 好 地 工作 在 VANET 环境 中 。 现 实 中 ， 道 路 
上 和 车 辆 的 类 型 有 许多 种 ， 例 如 来 自 于 救援 车 辆 (消防 车 、 救 护 车 、 警 车 ) BUE 
告 要 比 来 自 于 其 他 类 型 车 辆 的 警告 更 可 信 ， 并 且 这 些 警 告 应 该 自动 地 被 公众 所 信 
任 。 因 此 在 系统 开发 时 需要 考虑 这 一 因素 。 

此 外 ， 投 票 机 制 可 以 有 效 地 提高 VANET 的 安全 性 ， 作 为 代价 其 增加 了 计算 
和 传输 开销 。 参 考 文献 [7] 和 [8] 中 提出 的 两 种 方法 只 考虑 从 特定 车 辆 发 出 
的 特定 消息 ， 以 防止 攻击 者 发 送 复 制 的 紧急 消息 ， 也 就 是 说 ， 如 果 不 能 证 明 消 息 
是 从 他 们 声称 的 车 辆 发 出 的 〈 可 能 是 伪造 的 ) ， 则 这 些 消 息 将 被 认为 是 不 可 信 
的 。 为 了 满足 这 种 要 求 ， 发 送 方 需要 对 每 个 发 送 的 紧急 消息 进行 数字 签名 ， 以 便 
接收 方 能 够 验证 接收 到 的 消息 。 但 是 数字 签名 通常 非常 大 ， 从 几 十 〈 使 用 椭圆 
曲线 加 密 算法 ) 至 数 百 (使 用 RSA 加 密 算法 ) 字 节 ， 这 将 导致 更 多 的 传输 
开销 。 

生成 和 验证 数字 签名 及 其 相应 的 证 书 也 将 产生 额外 的 计算 开销 ， 这 样 的 开销 
将 随 活动 车 辆 的 增加 而 按 比例 地 增加 ， 因 为 每 个 新 增加 的 车 辆 都 将 生成 、 签 名 和 
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传送 一 个 额外 的 紧急 消息 。 当 所 有 这 些 车 辆 传送 大 量 的 信息 时 ， 传 送 和 计算 开销 
可 以 很 容易 地 使 整个 网 络 过 载 。 为 了 解决 这 个 问题 ， 聚 集 相关 的 紧急 消息 并 提供 
相应 的 消息 认证 是 非常 重要 的 ， 同 时 这 些 方法 必须 能 够 确保 消息 的 可 信和 性 。 

本 章 将 研究 利用 上 下 文 感知 的 方法 来 保护 VANET 中 某 些 特定 类 型 的 消息 ， 
并 且 这 些 方法 同时 还 考虑 了 VANET 环境 的 独特 需求 。“ 上 下 文 感知 ”的 概念 将 
考虑 场景 信息 ， 如 消息 类 型 、 紧 急事 件 源 的 可 信 性 、 突 发 事件 证 人 验证 、 地 理 位 
置 、 受 影响 的 物理 区 域 、 道 路 维修 历史 、 消 息 广 播 方向 以 及 其 他 潜在 的 因素 ， 这 
些 信息 将 进一步 用 来 建立 消息 来 源 的 可 信 性 。 这 里 提 到 的 每 个 上 下 文 因素 都 可 以 
作为 一 个 可 信 线 索 ， 多 个 可 信 线 索 可 以 聚合 成 一 个 可 信 系 数 [9，10]。 例 如 随 
着 天 气 在 冬季 (季节 信息 ) MRAR ( 天气 条 件 ) ， 并 伴随 着 持续 的 降雨 CX 
条 件 ) ， 那 么 对 于 那些 情况 不 好 的 道路 〈 道 路 维护 历史 ) 来 说 非常 容易 出 现 坑 洼 
(道路 紧急 情况 ) 。 了 解 了 这 些 信 息 后 在 某 些 季 闻 部 分 地 区 出 现 “ 前 方 坑 洼 ”的 
和 警告 信息 将 比 在 其 他 情况 下 更 值得 信赖 。 上 下 文 感知 的 方法 将 可 以 针对 不 同 的 情 
况 选 择 更 为 恰当 的 处 理 方式 ， 特 别 地 ， 本 章 将 专注 于 一 种 特定 的 信息 类 型 (B 
紧急 消息 ) ， 并 提出 一 种 新 的 能 够 在 VANET 中 高 效 验 证 紧急 消息 的 聚合 紧急 消 
息 认 证 和 可 信 (AEMAT) 方案 [11] ， 它 不 仅 满 足 了 紧急 消息 的 独特 需求 ， 而 
且 还 使 用 了 聚合 和 批量 验证 技术 ， 从 而 减少 了 计算 和 通信 开销 。 总 之 ， 在 有 紧急 
消息 需要 转发 时 ， 车 辆 可 以 将 多 条 消息 聚合 成 一 个 单一 的 数据 ， 然 后 再 发 送出 
去 。 所 建议 的 AEMAT 方案 充分 利用 了 句法 和 加 密 聚 合 技术 来 降低 传输 开销 ， 并 
采用 批量 验证 技术 来 降低 计算 开销 [12] 。 此 外 还 聚合 了 多 个 可 信赖 的 线索 ， 并 
采用 可 和 转 的 方法 来 评估 接收 到 的 消息 ， 之 后 再 提供 给 驾驶 人 ， 从 而 提高 他 们 决策 




































































的 质量 。 本 书 将 证 明 所 提出 的 方案 可 以 显著 减少 紧急 消息 的 计算 和 传输 开销 ， 并 
实现 对 紧急 消息 的 高 效 和 有 效 认 证 。 


8.3 ”系统 模型 和 设计 目标 


本 节 主 要 描述 系统 模型 、 攻 击 模型 和 设计 目标 。 
8.3.1 网 络 模 型 


本 节 假 设 在 VANET 中 没有 任何 用 于 辅助 数据 传播 的 固定 基础 设施 (如 接 入 
点 、RSU 和 卫星 通信 ) 时 的 IVC 的 情况 。 在 AEMAT 中 有 两 种 类 型 的 实体 ， 即 离 
线 安全 管理 者 (OSM) 和 车 辆 。 在 加 入 网 络 之 前 ， 每 部 车 辆 都 应 该 注册 到 OSM, 
并 获得 相应 的 公 角 证书。 本 节 假 设 采 用 机 会 数据 转发 机 制 [4, 5] 以 实现 全 局 
路 由 目标 。 
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8.3.2 攻击 模型 


本 方案 主要 考虑 错误 数据 注 和 攻击， 这 里 攻击 者 试图 使 接收 车 辆 接受 虚假 的 
紧急 消息 。 为 了 最 大 限度 地 提高 攻击 的 有 效 性 ， 多 个 对 手 可 能 串通 在 一 起 协同 地 
注入 错误 消息 进行 攻击 ， 这 种 攻击 也 被 称 为 共 谋 攻击 ， 从 而 增加 虚假 消息 的 可 信 
度 。 类 似 于 其 他 分 布 式 可 信 机 制 ， 系 统 中 对 手 的 数量 在 给 定 的 时 间 内 CALL] 
吊销 周期 ) 要 小 于 国 值 上 。 因 此 除非 明确 指定 ， 当 且 仅 当 接收 方 从 多 于 左 个 不 同 
的 证 人 收集 到 个 签名 时 ， 才 可 以 确定 一 个 紧急 事件 是 真实 的 。 为 了 简单 起 见 ， 
本 方案 假定 每 个 车 辆 对 同一 紧急 事件 只 报告 一 次 ， 并 对 相关 紧急 消息 产生 一 个 
签名 。 


8.3.3 设计 目标 


所 建议 的 AEMAT 方案 在 安全 和 效率 方面 应 该 遵循 以 下 设计 目标 。 

e 防止 共 谋 : 的 子 集 或 比 k 更 少 的 车 辆 不 可 能 伪造 一 个 紧急 事件 。 

e 高 效 认 证 : 所 提出 的 紧急 消息 认证 和 可 信 方 案 应 以 高 效 的 方式 来 执行 ， 
以 减少 通信 和 传输 开销 。 

。 可 靠 的 可 信 评 估 ， 所 提出 的 紧急 消息 认证 和 可 信 方 案 应 当 为 驾驶 人 提供 
强健 和 可 靠 的 方法 来 评估 其 收 到 的 紧急 消息 的 可 信和 度 ， 即 使 是 在 有 外 部 和 内 部 攻 
击 者 的 情况 下 。 

© 一 般 性 : 该 方案 应 该 适用 于 不 同 的 网 络 密度 ， 包 括 高 密度 和 低 密 度 网 络 。 


8.4 预备 知识 



































8.4.1 配对 技术 


本 章 提出 的 AEMAT 方案 是 基于 双 线 性 配对 ， 下 面 对 其 做 简要 介绍 。G 是 循 
环 加 法 组 ，G 7 是 一 个 相同 的 素数 阶 y 的 循环 乘法 组 , 即 |G |= [Gol =q Oe 
是 G 的 发 起 者 , He: G x G 一 G ,是 一 个 高 效 的 可 容许 的 双 线 性 映射 ， 并 具有 
以 下 属性 。 

e RIE: HFa, beZ; , e(g", g^) -e(g, 2)”, 

e 非 退化 : elg, g) £l. 


8. 4. 2 ”聚合 签名 和 批量 验证 


用 于 认证 紧急 消息 的 主要 计算 开销 来 自 于 验证 一 组 由 不 同 的 紧急 事件 证 人 发 
出 的 事件 消息 签名 ， 与 签名 者 对 应 的 公 钥 证 书 也 需要 一 起 进行 验证 。 所 有 这 些 都 
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会 导致 显著 的 传输 和 验证 开销 。 本 方案 利用 聚合 签名 来 减少 签名 和 证 书 的 传输 成 
本 ， 以 及 通过 批量 验证 实现 高 效 的 签名 验证 。 

限 合 签名 是 一 种 将 n 个 由 不 同 的 签名 者 发 出 的 n 个 不 同 的 签名 聚合 在 一 起 ， 
以 形成 一 个 单一 的 短 签名 的 数字 签名 技术 [13] 。 这 种 单一 的 签名 CRI n 条 原始 
消息 ) 将 使 验证 者 相信 这 n 个 签名 者 确实 签署 了 这 n 条 原始 消息 。 除 了 有 降低 
传输 信息 大 小 的 优点 ， 聚 合 签名 技术 还 支持 批量 验证 ， 这 使 得 接收 方 能 够 快速 验 
证 一 组 由 不 同 的 签名 者 生成 的 针对 不 同 消息 的 数字 签名 。 因 为 这 些 技术 是 结合 使 
用 的 ， 被 批量 验证 的 签名 是 聚合 签名 ， 所 以 混合 应 用 的 好 处 是 显著 的 。 本 方案 采 
用 了 由 Camenisch 等 人 [12] 提出 的 聚合 签名 和 批量 验证 方法 作为 基本 的 加 密 聚 
合 技术 ， 以 提高 聚合 性 能 。 
































8.5 AEMAT 方案 


本 节 介 绍 AEMAT BLZ ERIS. 
8. 5.1 系统 设置 


OSM 生成 一 个 元 组 ((g，g,G , G r,，e) 作 为 系统 参数 。0SM 选择 一 个 随机 
数 sk eZ TEA EMA, FFE ERI pk =g*， 并 由 此 形成 四 个 散 列 函数 : 
H: {0, 1] * 5G, H,:10, 1] * 5G, M: 10, 1} * —G, H4:10, 1] * "eZ, 
组 的 公 钥 和 私 钥 分 别 是 (q, g, G4, Gr, e, pk, H, H,, H, H4) 和 sk, 

设置 过 程 的 一 个 重要 任务 是 确定 紧急 报告 消息 的 格式 。 在 本 方案 中 ， 安 全 的 
紧急 报告 (SER) 的 格式 定义 如 下 。 对 于 紧急 事件 e, AM VTE SER; : 

SER; = (Type;, Loc;, ID’, Time; , Sig; , Cert; ) (8.1) 

式 中 ，7Type; 是 紧急 事件 的 类 型 ，Loc; 是 紧急 事件 发 生 的 地 点 ; 1D; 是 消息 产生 车 辆 
的 标识 ; Time; 是 车 辆 j 产 生 的 关于 紧急 事件 i 的 消息 的 时 间 ; Sig; 是 车 辆 j 产 生 的 
关于 紧急 事件 i 的 消息 的 签名 :Cen 是 车 辆 j 的 证 书 。 

对 于 特定 事件 e,， 假 设 与 之 相关 的 SER 共享 相同 的 Type; 、7Zoc; 是 合理 的 。 


8.5.2 注册 


车 辆 可 以 通过 执行 以 下 步骤 加 入 该 网 络 。 

1) 公 钥 生成 : 车辆 可 以 随机 选择 x; e ZEAE 09:91, JE AE MEM A 
X;2 CGY。 为 了 保护 用 户 的 隐私 ， 车 辆 也 可 以 随机 选择 VV 作为 其 化 名 。 在 加 入 VA- 
NET 之 前 ，V 将 联系 OSM 以 便 获得 相应 的 证 书 。 

2) 公 钥 证 书 发 行 : 在 确定 车 辆 的 合法 性 后 ，OSM 将 通过 对 (V, X) 进行 
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签名 而 颁发 公 钥 证 书 。 这 里 ， 证 书生 成 过 程 遵 循 Boneh — Lynn - Shacham 签名 方 
案 [13], OSM 计算 h—H(V; || X) 和 och”. Cert; 2 (Vj, Xj, a5) , FRG Vj] 
公 钥 证 书 。 

3) 证 书 验证 : 对 于 给 定 车 辆 的 公 钥 证 书 Cert, h—H(V,|| Xj), MEE e 
g) =e(h;, Pk) 时， 则 证 明证 书 是 合法 的 。 





(a, 


8.5.3 SER 生成 和 广播 


当 一 个 紧急 事件 =; 被 一 个 或 多 个 车 辆 检测 到 ， 被 记录 下 的 事件 为 (Type;, 
Loc;，Timei) ， 检 测 车 辆 V, ] =1，2，… 可 以 独立 地 产生 它们 的 SER, 

1) SER ÆR: 给 出 紧急 消息 的 类 别 和 检测 时 间 TL; = Type; || Time, VA fr 
置信 息 4= Zoci， 证 人 车 辆 利用 其 公 钥 和 私 钥 对 (Xj, x) 计算 wH (TL; || 
4), aH, (4), bH, (4), FEREZ Sig; =a" =a%b*w。 因 此 ， 和 车 辆 7 对 事件 
i 构建 了 一 个 SER 声明 (Type;, Loc;, vj, Time! , Sigi, Cert;) 。 之 后 ， VI) FLAS 
居 广 播 SERI, 

2) SER 验证 : 可 以 按 如 下 方式 对 单个 SER 进行 验证 。 对 于 给 定 的 SER; = 
(Type;, Loc;, Vj, Time; , Sigi, Cert; ) ， 验 证 方 将 首先 检查 包含 在 SER 中 证 书 的 有 
效 性 。 之 后 ， 它 通过 计算 w;—H (TL | Z) , aH, (4) , bH, (4) KIRE Y 
有 效 性 。 如 果 存 在 Sigi = ab" ， 则 证 明 该 SER 正确 。 


8.5.4 SER 机 会 转发 


VANET 网 络 的 拓扑 结构 可 以 是 非常 动态 和 多 样 化 的 ， 有 时 甚至 是 稀 下 的 ， 
且 经 常 是 分 隔 开 的， 假设 车 辆 之 间 的 通信 是 以 机 会 的 方式 进行 的 ， 当 路 径 不 存在 
时 节点 将 保存 需要 传送 的 数据 包 ， 并 在 有 新 的 接收 方 移动 到 其 附近 时 ， 将 数据 包 
转发 到 新 的 接收 方 【4] 。 为 支持 机 会 数据 传播 ， 范 围 > 内 且 役 此 之 间 能 够 维持 最 
小 通信 和 时间: 的 车 辆 可 以 构建 成 一 个 徐 ， 关于 创建 和 维护 簇 的 详细 描述 见 参考 文 
BK [4] 。 本 方案 将 每 个 簇 中 的 领导 节点 命名 为 header， 在 典型 的 机 会 数据 转发 
算法 [4, 5] 中 ， 复 的 领导 节点 将 负责 将 数据 转发 到 下 一 个 徐 。 需 要 转发 的 消 
县 将 在 领导 节点 中 缓存 ， 直 到 它们 被 转发 到 下 一 个 侯 ， 这 也 被 称 为 存储 和 转发 策 
略 。 在 本 方案 中 因为 如 下 两 个 原因 ， 簇 的 领导 节点 还 可 以 扮演 紧急 消息 聚合 者 的 
角色 : 

1) 如 有 果 使 禾 的 领导 作为 容 合 者 ， 则 可 将 聚合 过 程 合 并 到 数据 转发 过 程 中 ， 
因此 没有 必要 再 选 出 一 个 额外 的 簇 领导 来 执行 数据 聚合 操作 。 

2) 两 个 篮 之 间 的 消息 传播 过 程 被 称 为 一 个 追赶 过 程 ， 在 这 里 ， 消 息 将 保存 
在 其 运载 车 辆 中 ， 直 到 该 车 辆 行驶 至 另 一 个 集群 的 无 线 传 输 范 围 内 。 很 明显 ， 消 
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息 传 播 的 时 间 间 隔 依赖 于 车 辆 的 相对 速度 和 集群 之 间 的 距离 。 因 此 本 方案 可 以 利 
用 这 段 时 间 聚 合 相关 的 紧急 消息 ， 并 尽量 减少 聚合 操作 所 带 来 的 延迟 。 
在 下 面 的 章节 中 ， 复 的 领导 将 作为 聚合 者 执行 以 下 SER 聚合 认证 算法 。 


8.5.5 SER 聚合 认证 


对 于 任何 特定 的 紧急 事件 es; ， 每 个 聚合 者 维持 两 个 本 地 消息 列表 ， 分 别 为 
已 转发 的 SER 和 等 待 转发 的 SER。 用 下 表示 已 转发 的 消息 列表 ， 其 中 包含 所 有 
已 被 该 车 辆 转发 的 SER， 而 用 尺 表 示 等 待 转发 消息 列表 ， 其 中 存储 着 还 没有 被 
发 送 但 以 后 可 以 转发 的 信息 。SER Æ FUR 包括 所 有 与 事件 i 相关 的 SER。 无 论 
何 时 ， 当 聚合 者 接收 到 一 个 SER， 他 应 该 检查 该 SER 是 否 是 重复 的 。 如 果 是 的 
话 ， 将 丢弃 重复 的 SER， 和 否则 将 其 放 入 消息 列表 尺 中 。 聚 合 者 在 转发 之 前 将 执 
行 如 下 SER 聚合 (或 Aggregate SER) 操作 和 SER 批量 验证 ( BatchVerify _ 
SER) 操作 。 
8.5.5.1 SER 聚合 

Aggregate SER 用 于 将 多 个 SER 聚合 成 一 个 单一 的 SER， 它 包括 两 个 步骤 : 
句法 聚合 和 加 密 聚 合 。 

















D 句法 聚合 :对 于 紧急 事件 i， 有 个 SER, ME V, j=1, =, nE 
的 SER 消息 SER; =(Type;, Loc;, Vi, Time; , Sig; ; Cert; ) ， 通 过 句法 聚合 可 以 得 
到 SER, = (Type;, Loci, Vi, *, Vno Time, *…, Timel, Sig, ++, Sigi, Cert,, 


ea Cert, ) o 

2) MERE: 这 是 将 多 个 签名 和 证 书 聚 合成 单一 签名 和 证 书 的 过 程 ， 它 包 
括 以 下 两 个 步骤 : 

D HEBRE: Cet, (V, Xj. Tagg) s 其 中 o, IT. Cert; 

D 签名 聚合 : Sig agg} Sigi o 

此 聚合 过 程 如 图 8-4 Bras, TERE AURA Zt, BEAT AS SURE B3 
SER: SER, = (Type;, Loc;, v , °°, Vhs Time , *-:, Time}, Sig agg» Cert 
8.5.5.2 SER 批量 验证 

批量 SER 验证 包括 批量 签名 验证 和 批量 证 书 验证 。 

1) 批量 证 书 验 证 : 对 于 给 定 的 聚合 证 书 Cort (vs Xj, Cug), 4 
e(] 0. 8 = eT; hj. pk) 成 立时 ， 该 证 书 有 效 。 

2) 批量 签名 验证 : 对 于 聚合 签名 Sig,。。， 消 息 集 SER | <i<n 和 集合 V 中 所 
有 车 辆 的 公 钥 X; | imn, 4 e(Sigige, g) = ela, IT; ,XO xe, IT; xX 
成 立时 ， 该 聚合 签名 正确 。 

如 果 批量 验证 成 立 ， 聚 合 者 将 接受 列表 尺 中 的 SER 为 有 效 的 SER， 然 后 转 
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Type;, Loc 
Type; , Loc; Type;, Loc; e 
. ID, 
ID, ID, 证 书 和 | — 
S 句法 聚合 签名 聚合 25 
Time, — ||...... Timei, = 
Time} 
Sigi sss oN 
Time, 
Cert; Cert, 
Sigagg 
Cer binge 
SER, SER, 
7 个 普通 的 SER 
句法 聚合 的 SER 聚合 的 SER 
SERRE 


结果 : 输出 “有 效 或 无 效 


开始 


3 


wm XE 


Pl 
S 
E 








结束 








返回 有 效 


图 8-4 SER RA: 句法 聚合 和 加 密 聚 合 

发 RR 中 聚合 的 SER。 同 时 ， 聚合 者 将 把 RR 中 所 有 的 SER 移 至 消息 列表 下 中。 一 
ALF FP SER 的 数量 超过 k， 则 紧急 事件 s, 将 被 接受 为 有 效 的 紧急 事件 。 上 述 算法 
可 总 结 在 算法 4 中 。 
算法 4: SERRA TAGE 
数据 : MDC F,R, SER’ ) 


如 果 | 天 |+| 有 R| < 天 那么 
对 十 任何 新 收 到 的 SER! 执行 
gu SER € FUR A 


| IMA (R, SER') 


结束 
否则 丢弃 SER 


向 前 传播 {及 ) 
MAR (F, R) 





返回 无 效 


和 否则 接受 紫 急 事件 为 页 


ER.agg- Aggregate SER(R.) 
如 时 Batch Verify .SER(R.) 那么 
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Algorithm 4: SER Aggregated Authentication 
Data: Input (F, R, SER’) 
Result: Output valid or invalid 
begin 
if |F|+|R| < k then 
for any newly received SER' do 

if SER' £ F UR then 

| Add.List(R, SER') 
end 
else Drop SER' 


end 

SER agg} Aggregate SER(R.) 

if BatchVerify_SER(R) then 
ForwardPropagation( R) 
Add List(F, R} 

else 

| return invalid 
end 





end 
else Accept emergency event as True 





return valid 
end 


8.5.6 SER 聚合 可 信 


传统 的 建立 消息 可 信 的 方案 主要 依赖 于 紧急 事件 目击 证 人 的 数量 ， 并 通过 社 
会 验证 〈 许 多 反映 事件 “正确 ”性 的 活动 ) ， 或 使 用 数字 签名 技术 的 投票 机 制 来 
实现 。 与 之 相反 ， 本 书 的 方案 考虑 了 许多 能 够 确定 紧急 消息 可 信 性 的 不 同 因素 。 
这 些 上 下 文 因 素 可 以 聚合 成 被 称 为 聚合 可 信 的 单一 系数 ， 如 图 8-5 Bras, FEA HT 





道路 维 
护 历史 









气象 情况 
聚合 的 可 信 信 息 


— 
消息 广 As 


播 方向 








图 8-5 VANET 紧急 消息 的 聚合 可 信 
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信和 可 以 包括 ， 但 不 限于 证 人 、 权 威 机 构 和 信息 源 可 信 性 、 消 息 广播 方向 、 地 理 位 
置 (包括 证 人 车 辆 的 位 置 以 及 发 生 事故 的 地 点 ) 、 道 路 维修 历史 、 气 候 条 件 和 道 
路 状况 。 本 方案 可 以 根据 道路 上 紧急 情况 的 预期 类 型 使 用 合适 的 上 下 文 信息 来 判 
断 紧 急 消息 是 否 可 信 。 

在 本 章 的 聚合 消息 可 信和 方案 中 ， 接 收 方 将 比 现 有 方案 收集 更 多 的 输入 信息 
(RAAR), ， 因 此 他 /她 对 紧急 消息 的 判断 将 变 得 更 加 准确 和 可 牧 ， 例 如 情 
景 信 息 中 的 证 人 是 基于 观察 到 紧急 事件 的 证 人 数目 ， 证 人 可 以 交叉 验证 罕 发 事 
件 。 通 常情 况 下 某 紧 急事 件 的 证 人 越 多 ， 相 关 紧 急 消息 的 可 信和 度 就 越 高 ， 换 言 
之 ， 紧 急事 件 的 证 人 越 多 ， 其 就 越 可 能 被 接收 方 所 信任 。 有 具体 地 说 ， 达 到 预定 阔 
值 的 紧急 消息 将 被 认为 是 可 信 的 。 此 外 环境 信息 〈 例 如 天 气 条 件 和 道路 条 件 ) 
也 能 帮助 接收 方 准确 地 确定 紧急 消息 可 信 性 ， 特 别 是 那些 与 天 气 有 关 的 消息 。 此 
外 ， 那些 由 官方 授权 的 已 经 与 公众 建立 了 信任 关系 的 车 辆 可 以 归 类 为 “官方 和 
可 信和 的 信息 来 源 ”"”。 人 们 更 愿意 相信 和 急救 车 辆 发 出 的 紧急 消息 ， 这 些 急救 车 包括 
消防 车 、 救 护 车 和 和 警车。 将 紧急 消息 与 其 传播 路 径 信息 相 结合 ， 就 可 以 识别 出 该 
消息 的 来 源 ， 如 图 8-6 所 示 ， 与 那些 来 自 于 非 事件 发 生地 点 的 第 二 手 信息 相 比 ， 
人 们 更 倾向 于 相信 来 自 于 事 发 地 点 的 第 一 手 消息 。 


a 


iil v Ee] 


















































广播 方向 事故 非 直 接 让 人 














GO -+ 
GED oos WOREN 
图 8-6 消息 路 由 场景 
不 同 的 信息 输入 会 产生 许多 类 型 的 紧急 消息 ， 本 将 通过 讨论 道路 上 经 常 发 
生 的 三 种 典型 场景 来 说 明 本 节 提 出 的 方法 。 在 所 有 的 情况 下 ， 进 行 如 下 的 可 信人 性 
评 佑 之前， 假设 紧 急 消 息 已 经 被 认证 以 确保 消息 的 完整 性 和 来 源 ， 从 而 防止 对 紧 
急 消 息 的 外 部 攻击 。 需 要 明确 的 是 ， 在 这 些 例子 中 已 经 建立 了 传输 的 真实 性 、 保 
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密 性 和 完整 性 。 以 下 讨论 将 只 关注 那些 与 建立 消息 内 容 可 信 相 关 的 部 分 。 

第 一 个 场景 是 车 祸 (下 面 的 过 程 也 适用 于 其 他 预警 场景 ， 如 山体 滑坡 、 严 
重 的 坑 洼 、 交 通 堵塞 等 )。 首 先 接 收 方 会 检查 紧急 事件 的 证 人 是 否 为 应 急 车 辆 ， 
即 接收 方 将 检查 接收 到 的 紧急 消息 是 否 是 由 授权 车 辆 签署 的 ， 大 是 则 信任 该 消 
息 。 需 要 注意 的 是 ， 授 权 车 辆 不 需要 考虑 隐私 保护 ， 他 们 的 映 份 信息 是 公开 的 。 
如 果 不 是 这 种 情况 ， 如 图 8-6 所 示 ， 接 收 方 将 依赖 于 证 人 的 事故 报告 。 事 故 消息 
通过 车 车 通信 以 多 跳 方 式 从事 发 地 (车祸 现场 ) 按 传播 路 径 传播 到 整个 受 影响 
区 域内 的 车 辆 。 这 意味 着 证 人 被 认为 是 真实 的 (证 人 是 可 信和 的 ) ， 因 为 消息 是 从 
目睹 事故 发 生 的 证 人 那里 以 一 致 的 方式 发 出 的 。 

假设 消息 来 自 于 超出 范围 的 区 域 ， 发 送 报告 时 车 辆 的 位 置 将 不 能 保证 该 车 辆 
直接 目睹 了 事故 的 发 生 。 但 是 只 要 值得 信赖 的 证 人 数量 达到 了 前 面 提 到 的 阅 值 
k， 该 消息 仍然 是 可 信和 的。 不 过 的 是 ， 在 很 多 情况 下 可 能 不 能 获得 足够 的 证 人 以 
便 做 出 正确 的 决定 。 这 种 情况 就 需要 考虑 一 些 其 他 信息 ， 例 如 恶劣 的 路 况 以 及 因 
大 雪 或 暴雨 造成 的 交通 事故 和 延误 。 在 面 对 变 化 莫 测 的 路 况 、 恶 劣 天 气 或 见 到 车 
流量 突然 放 缓 时 ， 驾 驶 人 更 倾向 于 相信 和 与 车 祸 有 关 的 消息 。 

第 二 种 情况 是 由 于 恶劣 天 气 而 造成 的 封 路 。 芝 驶 人 会 收 到 许多 因 各 种 原因 如 
恶劣 的 天 气 而 造成 的 封 路 和 绕道 等 紧急 消息 ， 接 收 方 将 通过 检查 相关 信息 与 天 气 
报告 是 否 一 致 来 过 滤 接 收 到 的 消息 ， 例 如 当 有 降雪 累积 时 ， 与 雪 相 关 的 报告 将 更 
值得 信赖 。 当 天 气 晴 朗 时 ， 相 同 的 消息 则 会 与 良好 的 天 气 条 件 发 生 矛 盾 。 

第 三 种 情况 则 是 针对 严酷 的 冷 热天 气 以 及 其 他 经 常 影响 交通 的 因素 。 以 道路 
坑 洼 为 例 ， 此 时 诸如 天 气 状 况 、 道 路 状况 、 道 路 维修 历史 等 信息 可 以 提供 与 道路 
坑 洼 可 能 性 相关 的 信息 。 如 果 某 地 区 要 经 历 季节 性 的 冰冻 和 炎热 ， 而 且 众 所 周知 
该 地 区 的 道路 经 常 有 坑 洞 形成 和 需要 经 常 维护 ， 则 接收 者 可 以 确定 与 道路 坑 洼 相 
关 的 报告 的 可 信 度 较 高 。 因 此 在 考虑 事 发 地 点 的 环境 信息 后 与 道路 坑 洼 相关 的 警 
告 消息 的 可 信 度 将 高 于 平均 水 平 。 









































8.6 安全 讨论 


8.6.1 共 谋 攻击 


AEMAT 方案 使 用 可 妃 溯 性 和 分 布 式 信 任 机 制 来 防御 共 谋 攻击 。 可 追溯 性 将 
确保 检测 到 某 个 对 手 发 送 的 任何 针对 一 个 公共 事件 的 多 个 声明 ， 因 此 针对 某 个 事 
件 对 手 只 能 发 送 一 个 SER。 此 外 分 布 式 信任 机 制 将 保证 对 手 在 VANET 系统 中 的 
数量 少 于 % 个。 因此 即使 所 有 的 对 手 都 相互 串通 ， 它 们 也 不 可 能 产生 个 或 更 多 
个 SER 来 使 其 他 车 辆 相信 存在 一 个 不 存在 的 紧急 事件 。 
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8.6.2 证 人 隐私 保护 


为 了 保护 证 人 车 辆 的 隐私 ，AEMAT 方案 建议 使 用 随机 生成 的 假名 以 及 相应 
的 公 钥 证 书 。 为 了 进一步 增强 AEMAT 方案 的 隐私 保护 功能 ， 在 加 入 VANET 之 
前 ， 车 辆 可 从 OSM 请 求 多 个 假名 和 相应 的 公 钥 。 为 避免 Sybil 攻击 即 恶 意 车 辆 冒 
充 多 重 身份 ， 应 该 仔细 定义 公 钥 证 书 的 截止 日 期 ， 以 确保 在 任何 时 间 段 内 只 有 一 
个 假名 和 公 钥 证 书 是 有 效 的 。 


8.7 性 能 评估 


本 节 评 估 了 所 提出 的 AEMAT 方案 在 通信 和 计算 方面 的 开销 ， 并 与 采用 非 聚 
Gi ECDSA 签名 方案 的 已 有 的 方法 [7] 进行 比较 ， 证明 AEMAT 的 优点 。 


8.7.1 传输 开销 


AEMAT 方案 的 主要 优点 之 一 是 传输 成 本 低 。 通 信 开 销 的 大 小 取决 于 聚合 
SER 的 大 小 、 签 名 和 相应 公 钥 证 书 的 数量 。 为 了 保证 协议 的 安全 性 和 实现 与 
ECC - 160 相同 的 安全 级 别 ，G 中 的 元 素 可 能 高 达 160bit。 由 于 在 AEMAT 中 签名 
和 证 书 分 别 只 需要 G 中 的 一 个 元 素 ， 整 个 签名 加 上 证 书 占 用 G 中 三 个 元 素 ， 或 
480bit。 表 8-1 给 出 了 AEMAT 中 一 个 SER 组 件 的 近似 长 度 。 如 果 考 虑 多 个 SER 
的 情况 ， 并 且 所 收集 的 SER 的 总 数 为 nx， 则 所 述 的 未 经 聚合 的 SER 的 总 的 大 小 
应 该 是 92n。 但 是 AEMAT 方案 通过 采取 聚合 签名 ， 总 的 大 小 可 以 降低 到 36n + 
56， 见 表 8-1。 根 据 相 同 的 参数 假定 ， 采 用 级 联 ECDSA 签名 方案 总 的 大 小 是 
116n +36 [7]， 这 要 比 AEMAT 方案 长 得 多 。 














# 8-1 SER 各 组 成 部 分 的 大 小 单位 : Byte 
组 成 部 分 T&L ID Time Sig Cert Total 
大 小 16 8 8 20 20 +20 92 
聚合 的 T&L nID nTime Sig age Cert a Total 
大 小 16 8n 8n 20 20n +20 36n +56 


8.7.2 计算 开销 


本 节 主 要 对 耗费 计算 的 配对 (Pair) MAR (PMUL) 操作 来 讨论 计算 开销 。 
本 方案 使 用 加 密 聚 合 技术 ， 对 个 不 同 签名 和 证 书 进行 聚合 验证 的 费用 约 为 5 个 
配对 ， 相 对 于 单独 验证 所 需 的 3n 个 配对 来 说 ， 这 是 一 个 显著 的 改善 。 作 为 对 比 ， 
ECDSA 签名 需要 2n 个 点 乘 操作 ， 通 过 采用 文献 [14] 中 的 配对 技术 ， 对 于 配对 
和 点 乘 操 作 ， 其 大 致 时 间 开 销 分 别 为 2.82ms 和 0.78ms。 从 图 8-7 中 可 以 看 出 ， 
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即使 在 SER 数量 增加 的 情况 下 ，AEMAT 方案 的 计算 开销 是 恒定 的 ， 而 ECDSA 
的 计算 开销 随 SER 的 增加 而 增加 ， 直 到 它 显 著 超 过 AEMET 的 计算 开销 。 
计算 开销 /ms 











50r 
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—*— ECDSA 












45 上 





[m 
Un 
T 


每 合 车 的 全 部 计算 开销 /ms 


| ++ 二 十 十 十 十 十 











SER 的 总 数 


图 8-7 用 不 同 数量 的 SER 比较 基于 ECDSA 和 AEMAT 的 身份 认证 方案 








8.8 结论 


本 章 提 出 了 一 种 高 效 的 可 信和 唆 合 紧 急 消息 的 认证 方案 ， 它 可 以 有 效 地 兼顾 
VANET 中 的 效率 和 安全 问题 。 此 外 ， 本 方案 可 以 聚合 多 个 可 信 线 索 ， 并 以 可 靠 
的 方式 提供 给 驾驶 人 ， 使 这 驶 人 能 够 评估 他 们 接收 到 的 紧急 消息 的 可 信和 度 ， 从 而 
提升 决策 的 效率 和 有 效 性 。 
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9.1 概述 


在 VANET 中 ， 车 辆 和 RSU 之 间 的 通信 能 力 使 许多 车 辆 应 用 成 为 可 能 ， 这 些 
应 用 的 优点 之 一 是 它们 能 够 有 效 地 提高 交通 的 安全 性 ， 利 用 这 种 技术 来 防止 日 益 
增多 的 危险 驾驶 事故 ， 这 对 大 城市 来 说 是 一 个 有 前 途 的 解决 方案 。 此 外 ， 随 着 车 
联网 的 普及 ， 将 车 辆 连接 到 因特网 正在 成 为 现实 的 需求 。 这 种 应 用 给 乘客 带 来 了 
便利 ， 使 互联 网 服务 提供 商 (ISP) 看 到 了 广阔 市 场 。 但 是 这 类 应 用 可 能 要 求 用 
P (驾驶 人 或 乘客 ) 进行 注册 并 支付 服务 费 ， 因 此 用 户 在 使 用 服务 前 需要 进行 
认证 。 

从 技术 的 角度 看 ， 现 有 的 许多 路 由 协议 [1, 2]. 可 以 实现 车 辆 访问 因特网 ， 
但 是 这 些 协议 不 管 是 与 安全 相关 的 应 用 ， 还 是 在 线 娱乐 ， 都 没有 将 安全 问题 考虑 
在 内 ， 这 一 缺陷 可 能 会 导致 在 车 辆 遭受 亚 性 攻击 时 造成 巨大 的 商业 损失 和 潜在 的 
不 安全 驾驶 。 例 如 : 对 于 一 个 没有 强大 身份 认证 方案 的 不 安全 的 车 联网 络 ， 一旦 
对 手 获得 了 合法 用 户 的 身份 和 密码 ， 他 就 可 以 任意 使 用 用 户 的 在 线 服 务 ， 其 至 将 
用 户 的 个 人 信息 发 送 给 其 他 人 。 在 另 一 种 情况 下 ， 恶 意 攻击 者 会 冒充 合法 用 户 向 
RSU 发 送 假 消息 ， 并 使 RSU 向 其 他 用 户 广播 这 个 假 消 息 。 如 果 假 消息 是 致命 的 ， 
对 整个 网 络 造成 的 损失 可 能 是 毁灭 性 的 。 因 此 开发 一 个 强壮 的 身份 验证 方案 是 必 
要 和 紧迫 的 。 此 外 ， 为 了 避免 网 络 服务 连接 中 断 并 实现 无 颖 切换 ， 尤 其 是 在 车 辆 
高 速 行驶 的 时 候 ，VANET 需要 优先 考虑 快速 的 认证 方案 。 预 认证 是 实现 快速 认 
证 的 有 效 方法 ， 它 经 常 被 用 于 预先 认证 移动 用 户 ， 从 而 有 效 地 减少 认证 延迟 。 

虽然 移动 自 组 织 网 (MANET) 和 VANET 具有 相似 的 特性 ， 如 节点 在 两 种 网 
络 中 都 是 移动 的 ， 可 以 考虑 将 现 有 的 针对 移动 自 组 织 网 络 (MANET) 的 预 认证 
方法 [3 -5] 移植 到 车 联网 中 ， 但 是 车 联网 有 其 自身 的 特点 ， 使 得 现 有 的 MA- 
NET 预 认 证 方案 并 不 适合 于 VANET 环境 ， 例 如 车 联网 中 车 辆 的 移动 速度 比 移动 
网 络 中 设备 的 移动 速度 高 得 多 ， 而 且 MANET 中 节点 的 密度 要 比 车 联网 中 的 密度 
低 得 多 。 此 外 ，MANET 方案 没有 考虑 到 车 联网 的 独特 特点 ， 使 得 将 它们 应 用 到 
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VANET 中 时 效率 不 高 。 首 先 ，MANET 中 移动 站 的 运动 模式 通常 是 不 固定 的 ， 并 
且 移 动 站 在 某 个 时 间 点 的 位 置 也 是 不 可 预测 的 ， 然 而 在 车 联网 中 由 于 车 辆 被 限制 
在 固定 的 道路 和 固定 的 方向 上 ， 车 辆 的 行驶 路 线 较 稳定 ; 第 二 ， 车 辆 的 行驶 速度 
要 比 MANET 中 移动 站 的 速度 更 快 ， 除 了 接近 十 字 路 口 ， 车 辆 能 够 在 其 大 部 分 的 
行驶 时 间 内 保持 几乎 恒定 的 速度 。 因 此 ，VANET 这 些 独 有 的 特性 促使 研究 人 员 
探索 更 为 有 效 的 协议 ， 以 应 对 VANET 中 快速 切换 和 快速 预 认证 的 问题 。 本 章 将 
研究 VANET 的 特点 和 车 辆 在 道路 上 行驶 的 特点 ， 并 提出 一 种 基于 车 辆 行驶 预测 
的 快速 切换 认证 方案 。 根 据 车 辆 广播 的 交通 信息 ，RSU 能 够 获得 车 辆 的 行驶 状 
况 ， 诸 如 方向 、 加 速度 /减速 度 、 速 度 和 位 置 等 ， 然 后 使 用 这 些 信息 作为 训练 数 
据 ， 设计 基于 多 层 感知 器 (MLP) 网 络 的 移动 预测 方案 ， 使 其 具有 预测 车 辆 未 
来 可 能 行驶 方向 的 能 力 。 在 这 个 信息 的 帮助 下 ， 本 方案 可 以 预测 车 辆 切换 到 哪个 
RSU 的 概率 更 高 。 作 为 第 一 个 在 VANET 中 通过 预测 车 辆 行驶 方向 而 快速 切换 认 
证 的 尝试 ， 本 章 提出 的 认证 方案 不 需要 向 所 有 相 邻 的 无 线 接 人 点 (AP) 广播 预 
验证 配置 ， 因 此 它 将 显著 降低 互联 网 流量 的 开销 ， 特 别 是 当 路 上 车 辆 数量 非常 庞 
大 的 时 候 。 

9. 2 节 描 述 了 用 于 预 认证 的 车 联网 架构 ;9. 3 节 设 计 了 一 种 基于 VANET 流动 
性 预测 的 快速 切换 认证 方案 ; 9.4 节 和 9.5 节 分 别 分 析 了 该 方案 的 安全 性 和 性 
能 ; 最 后 ，9.6 节 给 出 了 结论 。 





























9.2 车 联网 架构 


本 节 介 绍 基于 WiMax 和 802. 11p [6] 的 两 层 网 络 架 构 ， 如 图 9-1 rm, 其 
中 宽带 无 线 互 联网 接 入 同时 支持 与 车 辆 安全 相关 的 应 用 和 一 般 移 动用 户 的 与 娱乐 
相关 的 应 用 。 

第 一 层 由 WiMAX 基站 构成 ， 基 站 之 间 可 以 通过 对 等 网 络 无 线 通 信 进 行 互 
联 ， 也 可 以 在 基站 充当 网 关 时 通过 有 线 互联 网 进行 连接 。 第 二 层 是 由 路 边 接 和 人 点 
(AP) 、 车 辆 和 RSU 组 成 。 车 辆 之 间 使 用 802. 11p 协议 进行 通信 。 路 边 接 入 点 AP 
作为 一 个 网 关 ， 它 将 车 辆 发 送 的 802. 11p 数据 包 转 换 成 IP 数据 包 ， 并 将 其 转发 
到 上 层 的 基站 。 用 户 终 端 发 送 的 卫 包 将 由 AP 直接 转发 ， 其 中 RSU 和 AP 可 以 集 
成 到 一 个 单一 的 硬件 上 ， 这 也 是 当前 技术 发 展 的 趋势 。 为 了 更 好 地 理解 本 方案 ， 
本 章 将 其 分 开 表述 ， 这 是 因为 它们 应 用 的 领域 不 同一 一 AP 用 于 互联 网 接 入 ， 
RSU 用 于 交通 管理 。 通 过 这 个 方案 ,和 车辆 在 经 过 任何 路 边 AP 时 可 以 访问 互 
联网 。 

因为 从 一 个 AP 切换 到 另 一 个 AP 的 过 渡 时 间 较 短 ， 所 以 接 入 点 AP 应 能 够 使 
用 快速 认证 来 支持 诸如 电子 邮件 和 TCP 应 用 等 互联 网 服务 。 车 载 单元 (OBU) 
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&) 通信 协议 
一 于 -一 802.16 
---- HE 


骨干 网 络 基站 NAN 一 一 有 线 连接 


EN 




















: (c) 
A A 


ANN KONN 














图 9-1 车 联网 架构 


(车 辆 上 的 通信 设备 ) 经 常 广播 与 行驶 相关 的 消息 ， 包 括 车 辆 的 位 置 、 方 向 、 速 
度 、 加 速度 /减速 度 、 当 前 时 间 和 交通 事件 等 。 通 过 分 析 AP 收集 到 的 数据 能 够 
获得 车 辆 的 行驶 模式 ， 因 此 可 以 使 用 本 章 提 出 的 移动 预测 方案 来 实现 快速 认证 。 











9.3 ”基于 移动 预测 的 快速 切换 认证 方案 


9.3.1 多 层 感知 分 类 器 


作为 支撑 本 方案 的 基本 技术 ， 本 方 将 简要 介绍 多 层 感 知 分 类 融 。 

ZERA (MLP) 网 络 是 一 种 目前 流行 的 、 基 于 大 脑 关 联 功 能 和 分 类 模 
式 的 神经 网 络 。 每 个 神经 元 的 作用 很 像 大 网 络 中 的 节点 ， 负 责 处 理 和 传输 信息 。 
神经 元 之 间 的 链接 被 赋予 一 定 的 优先 级 (或 权重 ) ， 具 体 取决 于 它们 定义 的 路 径 
和 与 它们 相 邻 的 神经 元 ， 这 意味 着 某 些 神经 元 被 定义 (基于 情况 ， 或 通过 训练 ) 
通过 一 个 特定 路 线 传送 和 接收 信号 。 因 此 在 神经 网 络 中 ， 神 经 元 通过 适当 的 互联 
以 实现 “智能 ”任务 ， 如 模式 分 类 、 聚 类 /分 类 、 函 数 逼 近 、 预 测 、 优 化 、 内 容 
可 寻 址 存储 器 [7] 等 。 
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顾名思义 ，MLP 网 络 由 多 个 层 构成 ,包括 输入 层 、 隐 珊 层 (一 个 或 多 个 子 
E) 和 输出 屋 ， 如 图 9-2 所 示 。 它 通常 用 于 模式 分 类 ， 发 现任 意 复 杂 的 决策 边 
界 和 表示 布尔 函数 [8] 。 这 种 设计 的 成 功 之 处 在 于 其 通 近 任何 所 需 功能 的 效率 ， 
以 及 在 给 予 足 够 的 神经 元 和 层 的 情况 下 能 够 达到 很 高 的 精确 性 。 一 个 输入 层 神经 
元 的 数目 是 由 输入 数据 的 空间 维 数 决 定 的 ， 而 隐藏 层 所 包含 的 子 层 数目 和 每 个 子 
层 中 神经 元 的 数目 则 取决 于 分 类 的 复杂 性 。 一 般 说 来 ， 隐 藏 层 拥 有 的 子 层 和 神经 
元 越 多 ， 分 类 的 结果 就 越 准确 。 但 是 ， 随 着 神经 元 数量 的 增加 ， 训 练 网 络 所 需要 
的 时 间 也 随 之 增加 。 因 此 在 大 多 数 情 况 下 ， 需 要 一 个 折 中 方案 。 出 于 分 类 的 目 
的 ， 输 出 层 的 神经 元 的 数目 等 于 需要 分 类 的 数目 ， 并 且 每 个 神经 元 代表 一 个 类 。 
作为 一 个 MLP 分 类 器 ， 它 有 两 个 阶段 : 分 类 阶段 和 训练 阶段 。 

Han 隐藏 层 | 输出 层 
































1=0 | 1=1 1=2 ^ 123 
图 9-2 三 层 感知 器 网 络 


在 分 类 阶段 ， 从 输入 层 到 输出 层 ， 每 个 神经 元 汇总 所 有 来 自 于 前 面 中 间 邻 居 
层 神 经 元 的 数据 。 求 和 之 前 ， 每 个 数据 集 乘 以 一 个 权重 ， 该 权重 是 经 由 训练 过 程 
得 到 的 。 在 输出 层 拥 有 最 大 求 和 值 的 神经 元 表明 了 输入 数据 所 属 的 神经 元 
(类 )。 

/代表 层 的 数量 ,输入 层 1 等 于 0 (图 9-2) ， 与 输入 层 ! 相 邻 的 下 一 层 等 于 
1， 以 此 类 推 。w; 表 示 1 层 第 i 单元 与 1+1 层 第 j 单 元 连接 的 权重 。 此 外 ，y! 表 示 
层 1 第 i 单元 的 输出 ;g(. ) 表示 一 个 活动 的 功能 ， 如 sigmoid 功能 ; x 表示 一 个 
输入 矢量 的 第 i 个 元 素 。 因 此 ,分 类 算法 可 描述 如 下 : 

1) BARBIE! = g( Da, x wh)» 


2) 隐藏 或 输出 层 计算 允 = g( DS yh xy) ， 其 中 1=1，2，…, 工 -1。 


L 
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3) 返回 ;如 argmax;| y^^! |, 

在 训练 阶段 ， 其 目标 是 为 每 个 链接 找到 一 个 合适 的 权重 ， 寻 找 过 程 是 基于 大 
量 的 训练 样本 和 所 期 望 的 相应 输出 ， 从 而 使 这 些 权重 可 以 正确 地 分 类 结果 。 与 分 
类 阶段 相 比 ， 训 练 阶 段 要 相对 复杂 。 典 型 的 训练 算法 是 反 办 传播 算法 [10]， 计 
算 网 络 的 错误 的 梯度 。 通 过 学 习 过 程 ， 错 误 从 输出 层 到 输入 层 向 后 传播 ， 并 对 网 
络 权 重 进行 修改 ， 以 便 最 小 化 下 次 发 生 错 误 的 可 能 性 。 一 般 情 况 下 ， 反 向 传播 算 
法 的 步骤 如 下 [7]: 

1) 初始 化 权重 wi 至 小 的 随机 值 。 

2) 随机 选择 一 个 输入 模式 *， 并 通过 网 络 向 前 传播 信号 。 

3) 在 输出 层 计算 67:0; a (hi) (di -yf)。 其 中 ， 及 表示 提供 给 第 工 层 第 i 
单元 的 净 输 入 ; 由 表示 "期 望 的 输出 ; g C.) 是 函数 g(. ) 的 派生 函数 。 

4) 通过 向 后 传播 错误 为 前 面 的 层 计算 56: 

8| = g'(ChD) Y ol 全 其中， = 1,2,…,L-l 


5) 使 用 Aw, 2 moy)! 更 新 wl。 

6) 转 到 第 2) 步 ， 并 为 下 一 个 模式 重复 执行 各 步 ， 直 到 输出 层 中 的 错误 低 
于 阔 值 或 达到 人 迭代 的 最 大 数目 。 

9.3.2 建议 的 认证 方案 

本 章 提出 的 无 颖 认证 方案 是 由 以 下 四 个 阶段 构成 的 : 初始 车 辆 认证 阶段 、 移 
动 预测 阶段 、 预 认证 阶段 和 切换 阶段 。 
9.3.2.1 阶段 一 : 初始 车 辆 认证 

在 车 辆 (用 了 表示 ) 可 以 访问 互联 网 服务 之 前 ， 它 需要 与 认证 - 授权 - 计 
费 (AAA) 服务 器 进行 双向 认证 。 当 前 设备 或 应 用 与 AAA 服务 器 进行 通信 的 协 
议 标 准 是 远程 认证 拨 入 用 户 服务 (RADIUS) [10]， 它 也 被 称 为 RADIUS 服务 
器 。 有 具体 流程 如 图 9-3 所 示 。 了 首先 与 最 近 的 AP 进行 关联 请 求 ， 然 后 该 AP 发 
送 一 个 可 扩展 身份 认证 协议 (EAP) 请 求 询问 了 的 身份 。 在 接收 到 了 的 身份 后 ， 
AP 向 AAA 服务 器 发 送 一 个 RADIUS 接 和 人 请求， 与 之 一 同 发 送 的 还 有 上 的 身份 。 
随后 AAA 服务 器 和 VV 利用 公 钥 基础 设施 进行 双向 认证 。 一 旦 双向 认证 完成 ， 就 
可 以 建立 起 一 个 如 传输 层 安全 (TLS) 之 类 的 安全 通道 。 需 要 注意 的 是 ，AP 对 
于 了 和 AAA 服务 器 来 说 是 透明 的 ， 它 只 是 将 消息 转发 给 双方 。 

为 了 使 了 了 能够 接 入 AP, AAA 服务 器 为 它们 生成 一 对 主 密 钥 (PMK)。 此 外 
AAA 服务 器 创建 一 个 种 子 $5， 设 定 一 个 长 度 N， 用 来 产生 一 个 单 向 散 列 链 ， 并 将 
它们 发 送 给 V。 KEEN 表示 了 与 互联 网 服务 断 开 之 前 最 多 可 与 VY 个 AP 连接 ， 因 
此 w 应 足够 大 ， 以 便 维 持 一 个 稳定 的 连接 。 同 时 AAA 服务 器 还 创建 了 H'(S), 
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图 9-3 初始 的 车 辆 认证 


并 将 其 与 PMK 一 起 发 送 到 AP。 为 了 提高 生成 H' (S) RE, AAA 服务 器 可 以 
离线 创建 一 个 元 组 集 <5,N,H"(S) > 。 最 后 , 了 和 AP (已 接收 到 PMK) 开始 进 
行 四 次 握手 ， 为 802. 11 协议 协商 所 需 的 安全 参数 。 

在 V 接 入 互联 网 后 ， 它 可 以 使 用 从 AAA 服务 器 获得 的 种 子 S 和 长 度 N， 产 
生 用 于 将 来 认证 的 散 列 链 。 因 为 哈 希 链 的 生成 是 在 初始 认证 之 后 和 了 切换 到 下 
一 个 AP 之 前 进行 的 ， 所 以 它 不 会 对 下 一 个 AP 的 认证 操作 造成 延迟 。 另 外 值得 
指出 的 是 ，AP 仅 知道 散 列 链 中 的 一 个 元 素 H' (S) ， 并 不 知道 散 列 链 中 的 其 他 
元 素 。 
9.3.2.2 阶段 二 : 运动 预测 

在 这 个 阶段 ， 当 前 正在 与 一 辆 车 关联 的 AP 将 对 该 车 的 运动 做 预测 ， 以 判断 
车 辆 下 一 步 将 切换 到 哪个 AP。 这 个 阶段 是 为 阶段 三 做 准备 。 车 辆 的 运动 预测 包 
含 两 种 情况 : 沿 道路 移动 和 在 一 个 交叉 路 口 。 在 第 一 种 情况 中 ， 车 辆 的 运动 只 
两 个 方向 ， 向 前 或 者 是 向 后 。 在 这 种 情况 下 ， 我 们 定义 一 个 尼 空 间 ， 空 间 中 的 
样本 是 一 个 三 维 矢 量 ， 并 表示 如 下 : 

( Direction, Speed , Acceleration) (9.1) 

FLA, Direction 表示 车 辆 运动 的 方向 ， 比 如 向 东 或 向 西 ，Speed 表示 车 辆 运动 的 
速度 ; Acceleration 表示 车 辆 是 加 速 还 是 减速 ， 正 值 表示 加 速 ， 负 值 表示 减速 。 

居中 的 空间 矢量 (X) 作为 车 辆 的 特征 能 够 以 离线 方式 从 一 个 RSU 获取 。 
然后 这 些 矢量 作为 训练 样本 被 输入 到 9. 3. 1 小节 所 描述 的 多 层 感 知 分 类 器 中 。 反 
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向 传播 算法 被 用 来 训练 分 类 的 权重 。 在 这 种 情况 下 ， 输 出 层 神 经 元 的 数目 等 于 
2， 因 为 仅 存 在 两 种 可 能 的 输出 ， 即 向 前 或 向 后 。 在 做 决定 时 ， 这 两 个 神经 元 中 
输出 值 较 大 的 被 视 为 正确 的 结果 ， 例 如 第 一 神经 元 表示 向 前 ， 而 第 二 神经 元 表示 
后 退 。 如 果 输 出 层 的 结果 是 第 一 神经 元 比 第 二 神经 元 大 ， 则 意味 着 车 辆 将 在 不 久 
的 将 来 向 前 方 运动 。 

在 图 9-4 所 示 的 VANET 中 ， 在 第 一 种 场景 的 大 多 数 情况 下 车 辆 是 向 前 运动 ， 
除非 是 发 生 了 交通 事故 。 然 而 对 于 第 二 种 场景 即 车 辆 通过 交 又 路 口 时 ， 预 测 车 辆 
的 运动 方向 将 变 得 更 加 复杂 ， 如 图 9-5 所 示 。 一 般 来 说 ， 当 车 辆 到达 交叉 路 口 
时 ， 车 辆 存在 四 种 不 同 的 方向 选择 : 左 转 、 右 转 、 前 进 或 掉头 。 类 似 于 第 一 种 情 
况 ， 本 节 定 义 一 个 R 空间 ， 空 间 中 的 样品 是 一 个 5 维 矢量 ， 并 表示 如 下 : 

( Direction , Speed, Acceleration, Turn — Light, Traffic — Light) (9.2) 
其 中 ， 前 三 个 字段 与 第 一 个 方案 中 的 三 个 参数 的 意义 相同 ; 第 四 字段 Turn - 
Light 表示 车 辆 转向 灯 的 信号 ， 特 别 是 当 车 辆 将 要 在 交叉 路 口 转向 的 时 候 ， 该 字 
EUR S 个 可 能 的 值 ， 即 0.2、0.4、0.6、0.8 和 1。 它 们 分 别 表 示 左 转向 灯 内 烁 、 
右 转 向 灯 闪 烁 、 制 劲 灯 闪 烁 、 左 转向 灯 和 制 劲 灯 同 时 闪烁 、 右 转向 灯 和 制 劲 灯 同 




















时 闪烁 ;最 后 一 个 字段 Traffic - Light 表示 当前 交通 信号 灯 的 颜色 : 红色 、 绿 色 
或 黄色 。 
《小 通信 肋 议 
I —ji— 802.16 
一 一 一 802.11p 
骨干 网 P 一 一 一 ARR 














[ED) 









图 9-4 沿 道路 的 移动 方向 预测 


类 似 于 第 一 种 场景 ,在 局 空间 矢量 (X) 被 视 为 训练 样本 ， 它 们 也 是 从 一 
个 RSU 获得 的 。 输 出 层 的 神经 元 的 数量 取决 于 交叉 路 口 有 多 少 种 可 能 的 方向 ， 
例如 图 9-5 所 示 的 场景 ， 该 值 等 于 4。 每 个 神经 元 代表 一 个 车 辆 将 要 转向 的 方 
向 ， 并 且 输 出 层 中 神经 元 的 值 为 最 大 的 表示 预测 的 绪 

当前 正在 与 车 辆 关联 的 AP 根据 其 对 车 辆 运动 方向 的 预测 ， 可 预先 将 该 车 辆 


156 


HOR ”基于 移动 预测 的 快速 认证 切换 eec 













通信 协议 

—FL— 802.16 
---- 802.11p 
一 一 一 ”有 线 连 接 











AP/RSU 





Mii SAE 





























图 9-5 在 交叉 路 口 的 移动 方向 预测 


与 下 一 个 AP 关联 时 需要 的 认证 和 凭证 准备 好 。 
9.3.2.3 阶段 三 : 预 认 证 

根据 第 二 阶段 预测 的 结果 ，AP; (AP,; 代 表 自 从 车 辆 了 与 AAA 服务 器 完成 初 
始 身 份 认证 后 与 之 正在 关联 的 第 ;个 AP) 可 以 预测 哪个 邻居 AP 将 为 AP; ,1。 在 
V 与 AP; 断 开关 联 并 切换 至 AP, ,之 前 ，AP; 负 责 将 了 的 身份 和 相应 认证 凭证 发 送 
给 AP, ,| 。 需 要 注意 的 是 ， 这 里 假设 AP, 和 AP, , ,之 间 的 通信 信道 是 安全 的 。 在 
本 章 的 方案 中 ，AP; 向 AP, ,| 发送 HN-i(S)、H(PMK,) 和 VV 的 身份 。H*-i(S) 是 
由 AP, ,提供 的 散 列 链 中 第 (V — 1) NICR, S 是 由 AAA 服务 器 在 初始 认证 过 程 





中 提供 给 存 的 散 列 链 的 种 子 。AP; , | 将 使 用 HY-'(5) 认 证 V。PMK; 是 由 VV 和 AP; 
共享 的 主 密 钥 对 ,万 (PHMKR; ) 是 PMK WRAAE, HC. ) ZEBRPU PR, WO SHA - 1。 
AP; FII H ( PMK; ) 生 成 PMK; ,1。 在 AP; ,| 接收 到 VV 的 身份 和 认证 凭证 后 ， 
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AP, ,1 将 这 些 信息 存储 其 本 地 数据 库 中 ， 以 便 在 下 一 阶段 使 用 。 
9.3.2.4 阶段 四 : 切换 

当 了 检测 AP; ,1 的 信号 强度 比 AP; 更 强 时 , V 将 开始 向 AP; ,1 切换 ， 并 与 
AP, ,执行 如 图 9-6 所 示 的 认证 过 程 。V 首先 向 AP, ,; 发 送 关联 请 求 以 便 开 始 一 
个 认证 过 程 。 然 后 ，AP, ,返回 关联 响应 ， 并 请 求 了 的 认证 赁 证。 之 后 ,了 将 
HN-i-1 (S) 提供 给 AP, ，， 它 是 了 与 AAA 服务 器 进行 初始 认证 之 后 所 生成 的 
散 列 链 的 第 (N-i-1) 个 元 素 。 在 接收 了 HV"-i-1(5) 之 后 ，AP; ,1 检查 其 本 地 
数据 库 ， 看 是 否 有 了 的 凭证 信息 。 如 果 有 ，AP; ,1 检查 HIC (S) 是 否 等 于 要 
(HN-i-1(S))。 如 果 相 等 ，AP, ,通知 了 认证 成 功 。 因 为 了 和 AP; ,具有 相同 的 
H(PMK,) il HYI- (5), PECITE DUAE HCHCPMK;) || HYS) ) 作 为 它 
们 的 主 密 钥 对 以 及 一 个 独立 的 创建 PMK, ,; 的 过 程 。 


Se 车 辆 AP, AP} | 
























































连接 
4 » 
SEG KAD x 
< RCE, TRORJAGETERE 
N 
BMG G) > 
H’(S)=H(H**s)), «3o 
z RD, EHH HPMKYIKH SWEN PMK ,_, 
F: | 使 用 PMKE;i: 进行 4 次 握手 | ^ 
< VR HI ()RUH(PMK ) 
H” S), H(PMK,) fllD 
C Hf 4 
H'*(syi- nuu sy R^" 
» 成 功 ， B H(H(PMK; IHS GEB PMK, | 
á 使 用 PMK ,| 进行 4 次 握 于 » 
































图 9-6 车 辆 预 认证 


如 果 AP; ,| 的 本 地 数据 库 中 没有 VT 的 凭证 信息 ， 这 就 意味 着 由 AP, 预 测 的 V 
的 运动 结果 是 错误 的 (9.5 节 的 性 能 评 佑 表明， 预测 错误 的 概率 是 非常 小 的 )。 
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在 这 种 情况 下 ，AP; ,| 立即 向 AP; 要 求 与 V 身份 相 关联 的 H" (S) MHC PMK;) 。 
在 接收 到 这 些 信息 后 ，AP, ,| 再 次 检查 HP (S)Ze fi S T H(HP 7 (S)) ) 284 
于 上 述 内 容 ， 如 果 两 者 相等 ， 则 认证 V 成 功 ; 否则， 拒绝 了 的 接 人 。 该 方案 的 
最 后 一 个 步骤 需要 执行 4 次 握手 。 

在 AP; ,; 成 功 认 证 了 后 ， 它 将 从 本 地 数据 库 中 删除 了 的 凭证 信息 。AP; ,收集 
V 的 运动 特性 信息 ， 以 形成 如 第 二 阶段 中 定义 的 5 维 或 3 维 矢量 ， 并 预测 其 AP 邻 
居 AP; ，， 以 便 了 在 不 久 的 将 来 进行 切换 。 然 后 ，AP, ,| 重复 第 二 阶段 的 过 程 。 


9.4 安全 性 分 析 


本 节 将 分 析 所 提出 方案 的 安全 性 ,尤其 是 如 何 有 效 地 抵抗 重 放 攻击 ， 并 提供 
前 向 安全 的 能 力 。 


9.4.1 重 放 攻击 


假设 对 手 试图 发 动 重 放 攻 击 ， 并 重播 之 前 会 话 中 使 用 的 认证 赁 证， 以 便 伪 装 
成 一 个 合法 的 车 辆 。 这 种 假冒 攻击 不 可 能 在 本 章 的 方案 中 实施 ， 因 为 本 章 提出 的 
方案 中 采用 了 一 个 单 向 散 列 链 ， 该 散 列 链 是 了 与 AAA 服务 器 进行 了 双向 认证 后 
产生 的 。 因 为 单 向 散 列 链 的 特性 ， 对 手 虽 然 持 有 HCS), ERREA HY 
(S), ， 除 非 他 /她 能 获得 散 列 链 的 种 子 S。 因 为 AAA 服务 器 和 上 了 是 通过 EAP - 
TLS 安全 通道 发 送 种 子 5 的 ， 所 以 对 手 不 可 能 通过 禄 听 获 得 种 子 S. 


9.4.2 前 向 安全 


前 向 安全 应 该 满足 成 对 主 密 钥 不 能 被 AP, , ;获得 的 要 求 ， 例 如 AP, ,| 不 能 恢复 
由 了 和 AP; 所 共享 的 PMK,。 在 本 方案 中 ，AP, 仅 向 AP, ,| 提供 7(PMK,)， 后 者 用 来 
生成 成 对 主 密 钥 PMK; ,,, ， 所 以 AP; ,, #24 H(PMK,), 但 不 能 计算 出 PMK;, ix 
由 单 向 散 列 的 特性 决定 的 。 因 此 建议 的 快速 切换 认证 方式 可 以 提供 前 向 安全 。 


9.5 性 能 评估 


在 评价 所 提出 的 预 认证 方案 的 性 能 时 ， 预 测 车 辆 运动 方向 的 准确 率 起 着 重要 
的 作用 ， 因 此 首要 问题 是 计算 车 辆 运动 方向 预测 的 准确 率 。 评 佑 需要 研究 两 种 可 能 
的 行驶 场景 : 中 车 辆 行驶 到 交叉 路 口 ; @ 车 辆 沿 着 道路 行驶 。 因 为 场景 1 的 复杂 程 
度 要 远大 于 场景 2， 在 不 失 一 般 性 的 情况 下 ， 本 章 选 取 场 景 1 作为 测试 环境 ， 如 图 
9-7 所 示 [11]。 本 节 采 用 加 拿 大 安大略 省 滑铁卢 韦 斯 特 蒙 路 与 哥伦比亚 大 街 交 叉 
路 口 作为 测试 的 交叉 路 口 ， 并 收集 了 800 个 样本 ， 每 个 样本 是 一 个 之 前 介绍 的 5 维 
向 量 。 在 收集 的 数据 集中 ，Direction FEI) PG, Speed 为 车 辆 的 即时 速度 。 另 外 Addi- 
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tion 字段 提供 交通 灯 的 状态 信息 ， 例 如 红色 、 黄 色 、 绿 色 和 左 箭头 绿色 等 信息 。 由 
于 该 路 口 禁止 车 辆 掉头 ， 车 辆 运动 方向 的 输出 为 左 转 、 右 转 和 直行 。 








加 拿 大 安大略 省 请 铁 方 市 斯 特 壹 
路 与 哥 伦 比 业 大 街 交 叉 路 口 


图 9-7 ”收集 数据 的 交叉 路 口 





这 里 应 用 了 三 层 感 知 器 ， 输 入 层 神 经 元 的 数目 等 于 5， 其 中 每 个 神经 元 代表 
一 个 特征 。 隐 藏 层 神经 元 的 数目 等 于 10， 输 出 层 神 经 元 的 数目 等 于 3， 其 中 ， 输 
出 层 神 经 元 中 值 为 最 大 的 代表 输出 的 决定 。 数 据 集 被 分 成 两 部 分 : 一 个 是 训练 
集 ， 其 中 具有 600 个 样本 ; 另 一 个 是 测试 集 ， 其 中 具有 200 个 样本 。 
39-1 列 出 了 预测 数据 的 准确 性 ， 总 共有 200 个 测试 样品 。 在 这 项 研究 中 ， 
在 交叉 路 口 200 辆 车 中 有 71 辆 左 转 ，68 个 样本 分 类 正确 ; 200 辆 车 中 有 65 辆 右 
转 ，64 个 样本 分 类 正确 ， 因 此 总 的 准确 率 是 98.0% 。 预 测 发 生 错 误 的 关键 原因 
是 交通 违法 行为 ， 例 如 一 些 车 辆 左 CR) 转 时 没有 打开 左 CB) 转 指 示 灯 ， 甚 
至 是 打 错 了 转向 灯 。 
根据 预测 的 准确 率 ， 预 期 认证 延 时 了 可 以 用 如 下 公式 表示 : 
T =T, xp+(T,+T,) xq 
=T,xp+(T,+T,) x(1-p) 
=T +T, xq (9.3) 
AF, p 表示 预测 正确 的 概率 ; q 表示 预测 错误 的 概率 ,符号 gq 也 等 于 1 -p; T, 
表示 预测 正确 时 的 认证 延迟 。 在 这 种 情况 下 ,7 等 于 如 9.3.2.4 小 节 所 述 的 验证 
HY (S) EBET HCAS 7 (S)) TA, T, + 为 预测 不 正确 时 的 认证 延迟 。 
这 个 延迟 由 五 和 丈 两 部 分 构成 ， 丈 等 于 传输 两 个 消息 的 延迟 。 如 9.3.2.4 小节 
的 介绍 ， 这 两 个 消息 为 由 AP, ,发送 给 AP, 的 请 求 消息 和 包含 有 HII (S)5SVE 
份 的 响应 消息 。 式 (9.3) 的 最 终结 果 显示 出 预期 的 认证 延迟 是 线性 依赖 于 预测 
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的 准确 率 的， 最 大 值 等 于 T + 7,， 最 小 值 等 于 Tio 
表 9-1 移动 预测 的 性 能 





























左 转 右 转 直行 总 数 

总 数 71 65 64 200 
准确 的 数量 68 64 64 196 
准确 率 95.7 98.4 100 98.0 


从 表 9-1 可 以 看 出 ， 本 章 建 议 的 基于 MLP 分 类 器 的 运动 预测 方案 可 以 达到 
很 高 的 精度 。 因 此 预期 的 认证 延迟 非常 接近 于 最 小 延迟 T,, LPR 71 是 执行 一 个 
散 列 函数 操作 所 花费 的 时 间 ， 因 此 这 个 时 间 是 相当 小 的 。 


9.6 结论 


为 了 解决 VANET 中 快速 认证 的 问题 ， 本 章 提 出 了 一 种 新 颖 的 无 缝 认证 方 
案 。 该 方案 应 用 了 MLP 技术 和 单 向 散 列 链 ， 其 中 MLP 用 于 实现 移动 预测 。 该 方 
案 充 分 利用 了 VANET 的 独 有 特性 ， 实 验 和 理论 分 析 的 结论 是 它 可 以 实现 对 车 辆 
运动 预测 的 高 准确 率 。 通 过 评估 可 以 确定 在 VANET 移动 预测 认证 的 帮助 下 ， 该 
方案 可 以 有 效 地 减少 认证 延迟 。 
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